Linux Daily Topics

「Open Source Security Summit Japan」開催、オープンソースのセキュリティ課題に官民連携で取り組む姿勢

The Linux Foundation傘下のセキュリティプロジェクトである「OpenSSF」は8月23日、The Linux Foundation Japanとともに都内で「Open Source Security Summit Japan」を開催した。同イベントは2022年5月に米国でホワイトハウスとともに開催した「Open Source Software Security Summit II」に続くもので、日立製作所、富士通、NTTデータ、トヨタ、ルネサスエレクトロニクスとといった20以上のThe Linux FoundationおよびOpenSSFの国内メンバー企業のほか経済産業省やIPA、JP-CERTも参加し、官民総出でオープンソースソフトウェアが抱えるセキュリティ課題に挑む姿勢を示している。

Outcomes from Open Source Software Security Summit in Japan -Open Source Software Security Foundation

米国では近年、大規模インフラやサプライチェーンで使われているソフトウェアコンポーネントをターゲットにした攻撃が多発している。また、2021年12月に判明したオープンソースのロギングソフトウェア「Apache Log4j」の脆弱性は、Log4jが世界中のあらゆるシステムで使われているライブラリであったことから、民間企業だけでなく国家レベルの安全保障に影響する問題としてホワイトハウスが主導して対策する必要に迫られている。

こうした深刻な状況を受け、ホワイトハウスは2022年に入ってから国家サイバー長官のクリス・イングリス(Chris Inglis)氏を中心にNSA、CISA、NISTといった国家機関に加え、The Linux FoundationやOpenSSFといった団体、さらにはGoogleやAmazonといったビッグテックとも協力してオープンソースセキュリティに対するさまざまな取り組みを進めており、その一環として過去2回に渡り「Open Source Security Summit」を開催してきた。5月に行われた2回めのサミットでは今後2年間で1億5000万ドルの資金をかけ、オープンソースおよびソフトウェアサプライチェーンの強化をはかるための10の項目を設定している。そして今回、日本で同じ名称のサミットが開催されたことで、オープンソースセキュリティへの取り組みを米国内にとどまらず、世界レベルで展開する枠組みができつつあるといえる。

日米の官、民による協力体制を強調

本サミットではイングリス長官から日本のオープンソース関係者に向けてビデオメッセージが寄せられ、ホワイトハウスがオープンソースコミュニティおよび世界のパートナーと協力して取り組むこと、とくに深刻な問題になりつつあるソフトウェアサプライチェーン攻撃やlog4jのようなすでにひろく普及しているオープンソースコンポーネントの脆弱性には緊急に対応していく必要性が強調された。また、経済産業省 サイバーセキュリティ・情報化審議官 上村昌博氏によるプレゼンテーションでは、経済産業省が設置したサイバーフィジカルセキュリティ確保のためのタスクフォースについて、OSSの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集の策定やSBOM(Software Bill Of Materials)活用促進に向けた実証事業(PoC)の実施などに取り組んでいることが紹介された。

日本企業からの発表としては、国内のOpenSSFメンバーであるサイバートラスト、サイボウズ、ルネサス エレクトロニクスから「日本におけるオープンソースソフトウェアのセキュリティ向上のための課題と機会」に関して説明が行われ、米国と同様に日本も産業界と政府が早くからさまざまなシステムの基盤でオープンソースを受け入れてきたことから、コンポーネントとオペレーションの両方でオープンソースソフトウェアに大きく依存しており、セキュリティリスクを軽減するためには長期的な思考と投資が必要という点が強調されていた。日本でもトヨタなど大手の製造業のサプライチェーンを狙ったハッキングが増えていることから、こうした指摘は参加者にとっても共感しやすいものだったといえる。

“サミットが日本で開かれた意義は大きい”

また、会合後にはThe Linux Foundation エグゼクティブでイレクター ジム・ゼムリン(Jim Zemlin)氏とOpenSSFエグゼクティブディレクター ブライアン・ベーレンドルフ(Brian Behlendorf)氏が報道関係者向けに会見を行い、⁠オープンソースのセキュリティは、これまでオープンソースに多大な貢献をしてきた日本にとっても非常に重要な問題であると思っており、今回のサミットが日本で開催された意義は大きい。日本でも政府と産業界のリーダーが一丸となって行動することを期待している」⁠ゼムリン氏)と日本のコミュニティへの期待をコメントしている。

会見を行うBrian Behlendorf氏(左)とJim Zemlin氏(中)。右端はThe Linux Foundation日本担当バイスプレジデント 福安徳晃氏。会見はリアル/オンラインのハイブリッド形式で行われた。
会見を行うBrian Behlendorf氏(左)とJim Zemlin氏(中)

おすすめ記事

記事・ニュース一覧