編集部からのお知らせ
新着記事まとめは「AIトレンド」
推奨:「NTT再編」関連の記事まとめPDF

オープンソースソフトウェアのセキュリティ強化へ、米政府機関や企業のリーダーが会合

Steven J. Vaughan-Nichols (ZDNet.com) 翻訳校正: 編集部

2022-05-16 11:40

 オープンソースソフトウェアのサプライチェーンのセキュリティを保護することは非常に重要だ。Joe Biden政権は2021年、米国のサイバーセキュリティ対策の強化を目指す大統領令出した。米南東部で石油の流通を一時停止する事態に至った石油パイプライン大手Colonial Pipelineへのランサムウェア攻撃や、SolarWindsのソフトウェアサプライチェーンに対する攻撃が発生していたためだ。ソフトウェアのセキュリティ保護は最優先事項となった。それを受けて、Open Source Security Foundation(OpenSSF)The Linux Foundationは、このような難題に対応している。両組織が先週開催した「オープンソースソフトウェアセキュリティサミットII」には、37社の企業幹部や米国家安全保障局(NSA)、米サイバーセキュリティ・インフラセキュリティ庁(CISA)、米国標準技術研究所(NIST)など政府機関のリーダーが集った。サミットでは、オープンソースとソフトウェアサプライチェーンのセキュリティに対応することを目的とし、2年間で1億5000万ドル(約200億円)の資金を活用して、10件の重要な問題への解決策を強化するための概要について計画された。

 両組織にはさらなる資金が必要になるだろう。

 政府ではなく、Amazon、Ericsson、Google、Intel、Microsoft、VMWareなどが3000万ドル(約38億円)の提供を約束している。さらに、Amazon Web Services(AWS)は、OpenSSFへの出資を拡大し、今後3年で1000万ドル(約13億円)を出資すると約束している。

 OpenSSFのゼネラルマネージャーBrian Behlendorf氏は、ホワイトハウスでの記者会見で、「はっきりさせておきたいのは、われわれは政府から資金を調達するために来たのではないということだ。成功するために、政府に直接資金提供を求める必要が生じることは想定していなかった」と述べた。

 OpenSSFは、オープンソースのセキュリティ強化に向け、投資対象と想定する10の項目を以下の通り挙げている。

  1. セキュリティ教育:安全なソフトウェア開発の基本に関する教育と認定をすべての人に提供する。
  2. リスク評価:OSSコンポーネントのトップ1万件(またはそれ以上)について、一般に公開され、ベンダーニュートラルで、客観的指標に基づくリスク評価ダッシュボードを確立する。
  3. デジタル署名:ソフトウェアリリースでデジタル署名の採用を加速させる。
  4. メモリー安全性:メモリー非安全な言語を置き換えることで、多くの脆弱性の根本的な原因を排除する。
  5. インシデント対応:OpenSSF Open Source Security Incident Response Team(OpenSSFオープンソースセキュリティインシデント対応チーム)を立ち上げる。脆弱性対応時の重要な時に、オープンソースプロジェクトの支援に加わることができるセキュリティ専門家のチームだ。
  6. スキャニングの改善:高度なセキュリティツールと専門家のガイダンスを通して、メンテナーと専門家による新しい脆弱性の発見を加速させる。
  7. コード監査:年に1回、最大200個の最も重要なOSSコンポーネントのサードパーティーコードレビュー(と必要な修正作業)を実施する。
  8. データ共有:業界全体のデータ共有を調整して、最も重要なOSSコンポーネントを特定するための調査を改善する。
  9. ソフトウェア部品表(SBOM)の普及:SBOMツールとトレーニングを改善して、導入を促進する。
  10. サプライチェーンの改善:より優れたサプライチェーンセキュリティツールとベストプラクティスで、最も重要な10のオープンソースソフトウェアビルドシステム、パッケージマネージャー、ディストリビューションシステムを強化する。

 また、ホワイトハウスオープンソースセキュリティサミットの一環として、オープンソースセキュリティ企業のChainguardはソフトウェア業界に対し、「sigstore」の標準化を求めているsigstoreは、ソフトウェアの暗号署名を簡単に導入できるようにし、ソフトウェアサプライチェーンのセキュリティを改善することを目指したものだ。開発者がリリースファイル、コンテナーイメージ、バイナリーなどのソフトウェアのアーティファクトに安全に署名できるようにする。The Linux Foundation、Red Hat、Google、パデュー大学が立ち上げたプロジェクトだ。Kubernetesは既にsigstoreを採用している。

 JFrogのデベロッパーリレーション担当バイスプレジデントStephen Chin氏は、「オープンソースは常にモダナイゼーションの種のように受け取られているが、最近のソフトウェアサプライチェーン攻撃の増加は、オープンソースリポジトリーを検証するプロセスを一層強化する必要があることを示している」と述べている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]