2022 年 03 月 28 日
IoT 分野に関わるセキュリティ政策動向 ~米国防省オープンソース優先調達とアルファ・オメガ・プロジェクト~
2022 年1月 24日、米国国防省が「Software Development and Open Source Software 」と題した書面を公開し、オープンソースソフトウェア(OSS)を優先採用する旨調達方針を明確化しました。今回同同省では 2018 年 7 月に発表したサイバー戦略の下でオープンソースソフトウェアや市場販売中のツールを優先的 I ソフトウェア近代化戦略の中で、障害発生時に回復性の高いソフトウェア(Resilient Software)を適時調達運用することを重要視しており OSS を通じた重要な調達手段であると結論づけています。同時に、国防総省が使用する OSS プロジェクトに職員が参加することは運用セキュリティや政府の利益を促進するものとして、職員の貢献を支持する姿勢を表明しています。
国防省では OSS 調達時に SCRM(Supply Chain Risk Management) と MOSA(Modular, Open-Systems Approach) という基準を設定し、調達時もしくは公開時に厳格に運用されています。
米国の技術開発は軍民両用を基本方針としており、大学研究機関への研究投資、基礎研究から商用化に向けた応用研究(産官学連携研究)、商用開発(一般的には民間企業主体)という技術開発サイクルに加え、政府調達による需要喚起という手法がとられます。調達面ではまずは防衛産業側で長期調達方針が示され、一定の需要開発を担保したうえで、近い将来に重要インフラや民生品へも派生させ規模の経済性による全体の調達コストを下げるという手法です。この基本的な技術開発サイクルを当てはめるとこの国防省の動向は当然重要インフラへも波及します。
民生品への動き
2022 年 1 月 13 日米国ホワイトハウス主催で オープンソースソフトウェアサミットが開催 されました。会議には、米国家安全保障サイバーセキュリティ担当官や国防省、商務省、科学技術政策局、サイバーセキュリティ及びインフラセキュリティ局などをはじめとする政府側と、Apache Software Foundation、Linux Foundation、Open Source Security Foundation などコミュニティ側及び Google、Amazon、Microsoft、Apple などの企業側が参加しています。
Google 社の Kent Walker 氏のコメント によれば、重要インフラや国家安全保障でも採用されているオープンソースソフトウェアは、セキュリティレベルを維持するうえで必要不可欠な重要コードであっても、そのセキュリティを維持する作業のほとんどをボランティアが行っていると指摘されており、昨年末発生した log4j に関する脆弱性 については、その重要なコードのセキュリティを維持するための正式な要件や基準はほとんどなく、公式なリソース配分もありませんでした。このことからオープンソースで開発しているからといって、複数の目 “Many Eyes” により多数の技術者による脆弱性管理が出来ているという仮定は成立しないことが明らかになりました。
この結果を受けて 2022 年 2 月 1 日に発足したのが OpenSSF により発表されたオープンソース・ソフトウェア・サプライチェーン・セキュリティ改善プロジェクトとなる ”Alpha-Omega Project” です。アルファ・プロジェクトとオメガ・プロジェクトの 2 構成で今後運用されます。
アルファ・プロジェクト:最重要 OSS プロジェクトに注力
OpenSSF Securing Critical Project の作業に基づいて、専門家の意見や OpenSSF Criticality Score などの分析を通じ重要なオープンソフトウェアの選定を行います。その後アルファチームはセキュリティ GAP の把握及び個別対処支援を提供し、さらに既存の重要な測定基準を追跡し、利害関係者が依存性が高いオープンセキュリティプロジェクトについても開示するとされています。
オメガ・プロジェクト:ロングテール(長期保守)に焦点
自動化された手法とツールを用いて 1 万件以上のプロジェクトにおける重要なセキュリティ脆弱性を特定する計画。将来的にセキュリティ脆弱性の検出を自動化する方法やベストプラクティスの実装を効率的に実施する方法について提案を出す予定です。
サイバートラストでは、2021 年 7 月 13 日より OpenSSF プロジェクト に参画しています。2022 年 3 月時点では、 同プロジェクトに参加 している唯一の日本企業です。OpenSSF は、OSS のセキュリティを継続的に改善していくことを目的に、OSS 業界のリーダーが集結し、業界横断的に連携しているプロジェクトです。OSS の継続的なセキュリティ向上のため、オープンソースプロジェクトに存在するセキュリティ上の脅威の発見やセキュリティツールの整備、セキュリティのベストプラクティスの提案などを行っています。サイバートラストとしては、OpenSSF と連携し、プロジェクトへの貢献の成果を重要インフラにも採用されている IoT/ 組込み向け Linux「EMLinux」や IoT のライフサイクルをトラストチェーンで保護する「Secure IoT Platform®」などの自社商材にもフィードバックし、さらに、今後アルファ・オメガ・プロジェクト活動を注視しながら、日本国内のお客様が早期に前述の動向に対応できるよう支援していきます。また、OSS 関連コミュニティへの貢献を継続的に行っていきます。
詳細についてはぜひお問い合わせフォームからご質問ください。