Googleが、米政府のゼロトラストなどのイニシアチブ遂行に沿った同社の取り組み内容を明らかにしている。このイニシアチブは、Joe Biden米大統領が米国のサイバーセキュリティ強化に向けて5月に署名した大統領令に基づいたものだ。
米国の重要インフラの強化を目的に100億ドル(約1兆1000億円)を投資するというGoogleのコミットメントには、ゼロトラストプログラムの拡大や、ソフトウェアサプライチェーンのセキュリティ強化の支援、オープンソースのセキュリティの向上が含まれている。
同社はこうした貢献の中で、オープンソースのファジングツールから、セキュリティ強化に取り組むLinuxカーネル開発者への資金援助、Linuxでのメモリー安全性を有する言語の採用に向けた活動に至るまでの、同社が何年にもわたって推進してきたさまざまな取り組みを活用するという。
Biden大統領は先週、Apple、Google、Amazon、Microsoft、JPMorgan Chaseなどの最高経営責任者(CEO)らに対し、国家の重要インフラ保護の強化に向けた協力を求めた。
米商務省が管轄する米国立標準技術研究所(NIST)は、米国の連邦機関が実装するゼロトラスト設計を策定するためのプログラムを推進しているが、Googleはそのプログラムの遂行のために選択されたサイバーセキュリティ企業18社には含まれていなかった。しかし、同社のEric Brewer氏とDan Lorenc氏はブログ記事で、現在NISTとの協業で、テクノロジーサプライチェーンの完全性やセキュリティを向上させるためのフレームワークの開発に従事していることを明らかにしている。
両氏は、「脆弱性に対応するという形態ではなく、さまざまな種類のバグすべてを抑え込めるようなセキュアな言語やプラットフォーム、フレームワークによって積極的に脆弱性を排除するべきだ」としている。
さらに、「脆弱性やそれがもたらす副次的な影響に対処しようとするよりも、開発者が席を立つ前に問題を抑止する方が安全性や費用対効果の面で優れている」と述べている。
Biden大統領は先週、ホワイトハウスで開催したサイバーセキュリティに関する会合で、政府だけでは重要なインフラをサイバー攻撃から保護するという難題に対応できないとして、民間企業に協力を呼びかけた。
米国が将来の脅威への対策を強化できるよう、今後5年間でGoogleは100億ドル(約1兆1000億円)以上、Microsoftは200億ドル(約2兆2000億円)を投資する方針を示した。2021年に入り、米国ではこれまでに深刻なランサムウェア攻撃やサイバー攻撃が複数発生している。石油パイプライン大手Colonial Pipelineや食肉加工大手JBS USAがランサムウェアの被害に遭い、さらなる重要インフラがリスクにさらされているとの懸念が高まった。また、複数の政府機関が、2020年に明らかになったSolarWindsに対するハッキングの影響を受けた。「Microsoft Exchange」サーバーの脆弱性を狙った広範な攻撃も発生した。
Biden大統領は、「本日みなさんをお招きしたのは、サイバーセキュリティのレベルを引き上げる権限、能力、責任を持っていると考えているためだ」と話した。
Brewer氏は6月、Biden大統領が署名したサイバーセキュリティ関連の大統領令第14028号に応えるかたちで、ソフトウェアサプライチェーンのセキュリティ強化に関する4件の論文を提出している。
これら論文のうちの1つでは、C言語でのコーディングに内在するセキュリティの問題と、Rust言語の台頭について論じられている。
言語という点について、GoogleはLinuxカーネルの主言語として用いられているC言語の他に、Rustを第2言語として採用する計画に関する議論に賛同している。MicrosoftやAmazon Web Services(AWS)もRustを支援している。
Googleは、Microsoft傘下のGitHubにある「Dependabot」のようなツールで、ソフトウェアコードのテスティングを行うことを推奨している。Dependabotはオープンソースソフトウェアのパッケージや依存関係を最新の状態に保つためのツールだ。
またGoogleは、ソフトウェアのサプライチェーン攻撃に対する米国の公式な対策の一環として、ソフトウェア部品表(SBOM)に関する意見も述べている。Biden大統領の下した大統領令におけるSBOMという観点には、The Linux Foundationの功績もある。モダンなプログラムではライブラリーの依存関係が膨大な数に上っているため、SBOMの作成はオープンソースソフトウェアとプロプライエタリーソフトウェアの双方で解決すべき複雑な問題といえる。
両氏は、「SBOMは適切な信号対雑音比(S/N比)を有している必要がある。情報が多すぎる場合であっても、その有効性は低下するため、具体的なユースケースに見合った粒度と深さに関する最小要件と最大要件の双方を規定するよう米商務省電気通信情報局(NTIA)に要請する」としている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。