The Linux Foundation傘下のセキュリティプロジェクトである「OpenSSF」は8月23日、The Linux Foundation Japanとともに都内で「Open Source Security Summit Japan」を開催した。同イベントは2022年5月に米国でホワイトハウスとともに開催した「Open Source Software Security Summit II」に続くもので、日立製作所、富士通、NTTデータ、トヨタ、ルネサスエレクトロニクスとといった20以上のThe Linux FoundationおよびOpenSSFの国内メンバー企業のほか経済産業省やIPA、JP-CERTも参加し、官民総出でオープンソースソフトウェアが抱えるセキュリティ課題に挑む姿勢を示している。
こうした深刻な状況を受け、ホワイトハウスは2022年に入ってから国家サイバー長官のクリス・イングリス(Chris Inglis)氏を中心にNSA、CISA、NISTといった国家機関に加え、The Linux FoundationやOpenSSFといった団体、さらにはGoogleやAmazonといったビッグテックとも協力してオープンソースセキュリティに対するさまざまな取り組みを進めており、その一環として過去2回に渡り「Open Source Security Summit」を開催してきた。5月に行われた2回めのサミットでは今後2年間で1億5000万ドルの資金をかけ、オープンソースおよびソフトウェアサプライチェーンの強化をはかるための10の項目を設定している。そして今回、日本で同じ名称のサミットが開催されたことで、オープンソースセキュリティへの取り組みを米国内にとどまらず、世界レベルで展開する枠組みができつつあるといえる。
日米の官、民による協力体制を強調
本サミットではイングリス長官から日本のオープンソース関係者に向けてビデオメッセージが寄せられ、ホワイトハウスがオープンソースコミュニティおよび世界のパートナーと協力して取り組むこと、とくに深刻な問題になりつつあるソフトウェアサプライチェーン攻撃やlog4jのようなすでにひろく普及しているオープンソースコンポーネントの脆弱性には緊急に対応していく必要性が強調された。また、経済産業省 サイバーセキュリティ・情報化審議官 上村昌博氏によるプレゼンテーションでは、経済産業省が設置したサイバーフィジカルセキュリティ確保のためのタスクフォースについて、「OSSの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集」の策定やSBOM(Software Bill Of Materials)活用促進に向けた実証事業(PoC)の実施などに取り組んでいることが紹介された。
また、会合後にはThe Linux Foundation エグゼクティブでイレクター ジム・ゼムリン(Jim Zemlin)氏とOpenSSFエグゼクティブディレクター ブライアン・ベーレンドルフ(Brian Behlendorf)氏が報道関係者向けに会見を行い、「オープンソースのセキュリティは、これまでオープンソースに多大な貢献をしてきた日本にとっても非常に重要な問題であると思っており、今回のサミットが日本で開催された意義は大きい。日本でも政府と産業界のリーダーが一丸となって行動することを期待している」(ゼムリン氏)と日本のコミュニティへの期待をコメントしている。