2022年8月23日東京発 ー Linux FoundationとOpen Source Security Foundation (OpenSSF) は、経済産業省後援のもと、本日、日本の企業、政府機関、研究機関のサイバーセキュリティ専門家を招集し、オープンソースソフトウェア (OSS) のセキュリティに関する問題の共有と、改善を迅速に進める方法について議論することを目的とした「Open Source Security Summit Japan」を開催します。会合には、OSS先進企業など27組織からサイバーセキュリティの責任者と専門家が招集されます。
現代のソフトウェアサプライチェーンは、基本的なコンポーネント、およびそのオペレーションともに、OSSに広く依存しています。組織 (企業・政府を含む) は多くの場合、OSSの活用を通して開発スピードと品質を高め、技術革新を目指します。OSS採用により、産業全体でOSSのメリットを共有する一方で、OSSコンポーネントの脆弱性が見つかれば、その影響は世界中の組織やコミュニティに広く及びます。OSSセキュリティを確保することは最重要事項であり、そのためには国や業界を超えた協力的な取り組みが求められます。
Open Source Security Summit Japanは、今年1月13日米国ホワイトハウス主催で行われたOSSセキュリティ改善に関する会合、および5月12日フォローアップ会合として米国行政機関主導のもとLinux Foundation / OpenSSF主催で行われたOpen Source Software Security Summit II に続き開催されます。本会合を通じ、Open Source Software Security Summit II で合意された「The Open Source Software Security Mobilization Plan (OSSセキュリティのための動員プラン)」などの成果が共有され、また、日本の産学官の組織がOSSセキュリティ改善に向けたグローバルな協働に参加する機会も紹介されます。
本会合において、基調講演をする経済産業省サイバーセキュリティ・情報化審議官の上村昌博氏は、次のように述べています。
「OSSを含むソフトウェア技術への依存が高まる一方、Log4jの脆弱性が発表されるなど、ソフトウェアの管理手法、脆弱性対応やライセンス対応等の重要性が増しています。本日紹介させていただくとおり、経済産業省においても、OSSの管理手法に関するプラクティス集の策定やSBOMの利活用に関する実証を行うなど、OSSを含むソフトウェアのセキュリティ確保に向けた様々な取組を行っております。本会合を通じて、OSSを含むソフトウェアのセキュリティ確保に関する知見等をより深め、その管理手法や脆弱性対応等の課題解決に向けた国内における取組がより活発になることを期待しています。」
本会合を主催したLinux Foundationのエグゼクティブ ディレクターであるJim Zemlinは、次のように述べています。
「オープンソースソフトウェアは、今や世界中の重要なインフラストラクチャの中核をなしています。そのため、重大な脆弱性による潜在的な被害は、これまでよりもはるかに大きくなっています。現在、世界各国の政府は、オープンソースソフトウェアコミュニティに対して、開発プロセスやソフトウェアサプライチェーンがセキュリティ向上とリスク軽減を中心としたものになるようにレベルアップを要求しています。Linux Kernelから Kubernetes、Let’s Encryptに至るまで、Linux Foundationのさまざまなプロジェクトは、より優れたセキュリティプラクティスの定義と採用において長年にわたり業界をリードしてきました。私たちは、日本の企業や政府機関と協力してセキュリティ体制を強化し、グローバルなソフトウェア環境を改善するために協力していきたいと切に願っています。」
Open Source Security Foundationのゼネラル マネージャーであるBrian Behlendorfは、次のように述べています。
「OpenSSFは、現代のグローバル社会を支えるオープンソースソフトウェアの使用と開発においてセキュリティ中心のアプローチを発展させるために、日本のビジネスおよび政策コミュニティと連携する準備ができています。本日の会話により、重要なセキュリティのスタンダード/プラクティス/ソフトウェアにおける日本およびグローバルパートナーとの協力と実装のペースが加速することを期待しています。 これにより、グローバルなソフトウェアサプライチェーンは、サイバー攻撃や脆弱性対して回復力があり堅牢なものになります。」
Linux Foundationの日本担当バイスプレジデントである福安 徳晃は、次のように述べています。
「今やOSSを利用することなくソフトウェアを使う製品・サービスの開発は不可能であると言われています。またその製品・サービスに含まれるOSSの割合は平均で8割程度とも言われており、OSSは社会のインフラであると言っても過言ではない状況です。そのインフラのセキュリティ対策は、サイバーセキュリティ対策の中でも最重要課題の一つと考えます。今回の動員プランや Open Source Security Summit Japanにより、日本における「OSSセキュリティ」の重要性が広く認知され、業界が一致団結してこの重要課題に取り組むひとつのきっかけとなることを願っています。」
Open Source Security Summit Japan開催の背景
2020年・2021年と立て続けに米国で発生した大規模なサイバー攻撃被害 (2020年ソーラーウィンズ社事件、2021年コロニアル・パイプライン社事件) を契機として、米国の政府機関や社会インフラなどに対するサイバー攻撃の危機が差し迫った課題となり、ジョー・バイデン大統領は2021年5月12日にサイバーセキュリティ強化のための大統領令に署名し、政府と契約する情報通信サービス企業との間で、サイバーセキュリティ分野での官民連携を深め、同分野の発展を目指す方向性を示しました。
昨今、企業の製品やサービスに含まれているソフトウェアのうち、70%〜90%はOSSあると言われていますが、2021年年末に「Log4j」という極めて幅広く利用されているOSSで重大な脆弱性が発見されました。危機感をつのらせた米国政府は、国家安全保障副顧問のAnne Neuberger氏がリードし、米国政府関係者および国内の主たるテクノロジー企業の責任者をホワイトハウスに集め 、1回目の「Open Source Software Security Summit」を2022年1月13日に開催し、OSSのセキュリティを向上させるための取り組みと、新たなコラボレーションによって改善を迅速に進める方法について議論しました。
2022年5月12日に「Open Source Software Security Summit II」を開催 (Linux Foundation/OpenSSF主催) 、OSSセキュリティ改善に向けた具体策である「The Open Source Software Security Mobilization Plan」に関して参加した関係者間で合意し、向こう2年間で$150Mの資金を企業などから集め、具体的に活動として取り組む方針を打ち出しました。
今回のOpen Source Security Summit Japanは、上記の米国での取り組みを受け、経済産業省の後援のもとLinux Foundationが主催するものです。
The Open Source Software Security Mobilization Plan (OSSセキュリティのための動員プラン) について
Linux FoundationとOpen Source Security Foundationはさまざまな経済セクターから情報提供を受け、OSSとソフトウェアのサプライチェーンセキュリティに幅広く対応する初の動員プランを発表しました。この計画では、精査された解決策を実践するために、以下の3つの目標に対する10の主要な問題を特定しています。
- セキュアなOSSの作成
- 脆弱性の検出と修復の強化
- エコシステムのパッチ応答時間を短縮
解決策実践に向け、Amazon、Ericsson、Google、Intel、Microsoft、VMWareが3,000万ドル以上の資金提供を約束しています。この計画は、OpenSSF参画企業が既に実践中のOSSのセキュリティ対策活動 (1億1000万ドル以上かけ、OSSのセキュリティ確保に専念する約100人のフルタイム従業員雇用) に積み重ねる形で推進されます。
全文 (ホワイトペーパー) はこちらをご覧ください :
日本語参考訳 : OSSセキュリティのための動員プラン
オリジナル (英語) : The Open Source Software Security Mobilization Plan
経済産業省におけるOSSを含むソフトウェアのセキュリティ確保に向けた取り組み
経済産業省商務情報政策局サイバーセキュリティ課においては、サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォースを設置し、OSSの利活用及びそのセキュリティ確保に向けた管理手法に関するプラクティス集の策定やSBOM活用促進に向けた実証事業(PoC)の実施などに取り組んでいます。
- サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォースの検討の方向性 (令和4年7月26日)
- OSS の利活用及びそのセキュリティ確保に向けた管理手法に関する事例集 (令和4年5月10日拡充版)
Linux Foundation、OpenSSFのOSSセキュリティへの取り組み
Linux FoundationがホストするOpenSSFは、OSSセキュリティを向上させる業界横断的な協力の拠点として2020年8月に発足しました。OpenSSFは、業界で最も重要なOSSセキュリティイニシアチブとそれをサポートする個人・企業を結び付けます。Heartbleedバグ (2014年) に対処するために設立された Core Infrastructure Initiative (CII) と、GitHub Security Labによって設立されたOpen Source Security Coalitionも、OpenSSFの一部となりました。組織のガバナンス、技術コミュニティ、意思決定は透明性が保たれ、開発される仕様とプロジェクトはベンダーに依存しません。
また、OSSプロジェクトがセキュリティに関連した責任にうまく対処できるように、Linux Foundationによってホストされている多くのコミュニティは、いくつかの重要な取り組みに膨大な時間、リソース、コードを投資してきました。Linuxカーネルのセキュリティの向上に取り組み、Let’s Encryptとsigstoreをホストし、SPDXのISO標準化を支援し、CHAOSSプロジェクトを通じてOSSの健全性とリスクの測定基準を作成するコミュニティをまとめてきました — 他にも多くの実績があります。
###
OpenSSFについて
Open Source Security Foundation (OpenSSF)は、Linux Foundationがホストする業界横断的な組織です。業界で最も重要なオープンソースセキュリティの取り組みと、それをサポートする個人および企業をつなぎ合わせます。OpenSSFは、すべての人のためのオープンソースセキュリティを前進させるために、コラボレーションを推進し、アップストリームおよび既存のコミュニティ両方と協力します。詳細については openssf.org をご覧ください。
Linux Foundationについて
2000年に設立されたLinux Foundationとそのプロジェクトは、2,950を超えるメンバーによってサポートされています。Linux Foundationは、オープンソース ソフトウェア、オープンハードウェア、オープンスタンダード、オープンデータに関するコラボレーションのための世界有数の拠点です。Linux Foundationのプロジェクトは、Linux、Kubernetes、Node.js、ONAP、Hyperledger、RISC-Vなど世界のインフラストラクチャにとって重要なものです。Linux Foundationの方法論は、ベストプラクティスを活用し、貢献者、ユーザー、ソリューション プロバイダーのニーズに対応し、オープン コラボレーションの持続可能なモデルを構築することに重点を置いています。詳細については linuxfoundation.org をご覧ください。
Linux Foundationはさまざまな登録商標および商標を使用しています。 Linux Foundationの商標の一覧についてはこちらをご覧ください。
Linuxは、Linus Torvaldsの登録商標です。