OpenSSF Day Japan 2022 開催！

はじめに

2022 年 12 月 5 日と 6 日、The Linux Foundation ^※1( 以下「LF」と略」) 主催の「Open Source Summit Japan」がパシフィコ横浜で開催されました。このコロケーションイベントとして、初日の 12 月 5 日には「OpenSSF Day Japan」が開催されました。OpenSSF Day は LF 傘下のプロジェクトである OpenSSF ^※2 主催のもと、OSS のセキュリティ強化・向上に話題を特化して行われるイベントです。2022 年 6 月に米国のオースティンで開催された Open Source Summit North America や、9 月にアイルランドのダブリンで開催された Open Source Summit EU でも開催されており、日本では今回が初めての開催となりました。
弊社サイバートラストは OpenSSF メンバーとして OpenSSF Day Japan に参加し、2022 年 5 月に発表された OSS Security Mobilization Plan が定義する 10 Streams に対応した活動について、スピーチを行いました。また、同様の内容を Open Source Summit Japan のセッションでもお話しさせて頂きました。
サイバーセキュリティの強化はいまや単なる技術論に留まらず、社会、政府、国家安全保障と広範囲に渡る課題として認識されており、OpenSSF Day Japan / Open Source Summit Japan の開催から一か月の間にも経済産業省と米国国土安全保障省が覚え書きを交わすという大きな動きがありました。OSS コミュニティの動きを共有し今後について議論を行う場である OpenSSF Day Japan は、こういった状況の中で日本で開催されたイベントとして重要なマイルストーンになったと考えています。
本ブログではサイバートラストからのお話を含め、OpenSSF Day Japan 当日の様子を紹介したいと思います。

※1: The Linux Foundation
※2: OpenSSF

OpenSSF Day Japan

スピーチセッション

OpenSSF Day Japan では、OpenSSF の主要メンバーや参加団体から以下のスピーチがありました。

What is the OpenSSF?

OpenSSF General Manager である Brian Behlendorf 氏から、OpenSSF の概要と最近のアップデートについての説明がありました。
OpenSSF は業界横断的に OSS と OSS サプライチェーンのセキュリティを向上させるためのコラボレーションであると位置づけた上で、世界で最もセキュリティに投資しているのはイスラエルだが、高度な教育水準という意味で日本にも同等の可能性があるという考えが示されました。

Open Source Security and the OpenSSF's Best Practices WG

LF の David Wheeler 氏から、OpenSSF で最も活発に活動が行われている Working Group の一つである Best Practice WG について、活動内容の紹介がありました。
Best Practice WG は Identify（脆弱性の特定、OSS プロジェクトのリスク・安全性の特定）、Learn、Education の３つの方向で活動しているとのこと。従来英語で提供していたソフトウェア開発者向け教育コースである「Developing Secure Software」について、翻訳が完了し日本語での提供を開始したことがアナウンスされました。^※3

※3: セキュアソフトウェア開発 (LFD121-JP)

Sigstore: Using Transparent Digital Signatures to Help Secure the Software Supply Chain

Google の Bob Callaway 氏から、コードおよびデータに対する署名・署名検証サービスを実現するための OSS プロジェクト「sigstore」の全体像について説明がありました。
sigstore はミッションステートメントとして、

Frictionless：簡単に使えること
Automated：自動化されていること
Pervasive：世の中に普及すること

の三点を重んじているとのこと。真正性・完全性を保証するための従来の仕組みには、(1) カギの管理が大変、(2) 真正性の検証・依存性が複雑という課題があり、sigstore はこれを克服し上記ミッションステートメントを実現するために開発が進められているとのことです。sigstore は先日 Ver.1.0 に到達したことを発表しており、今後も進展が予想されます。OSS セキュリティの向上にとって、非常に重要なコンポーネントとなりそうです。

Secure Software Supply Chain at IBM

IBM の Fumiko Satoh 氏から、IBM のセキュアな開発のための原則と、それを実装したリファレンスアーキテクチャである「One Pipeline」の紹介がありました。
IBM はセキュアな開発のために以下３つの原則（Principal）を掲げているそうです。

Everything-as-Code
様々なツールにより、デプロイ、コンプライアンス準拠なども自動化する
Mitigate security risks as early as possible
自動スキャンや自動テストにより、セキュリティへの対応はできるだけ早い段階、開発の上流で対処する
Drive standardization and reuse
使用するツールやプロセスはできるだけ標準化する

これらを適用したリファレンスアーキテクチャとして「One Pipeline」を定義・構築して開発を行っているとのこと。多岐にわたる領域を一つのプロセスにまとめ上げる手腕は、流石は世界の Big Blue と感心いたしました。詳しくお話をお聞きしたかったのですが、お話が大きすぎて会場ではあまりお話しできず ... またの機会を楽しみにしています。

Protecting Kubernetes Resource Manifests in End-to-end SDLC

IBM の Yuji Watanabe 氏から、sigstore を Kubernetes と結合しマニフェストの完全性・真正性を確認できるようにした取り組みについて説明がありました。
最近の Web サービスは当然のように Kubernetes によるマイクロサービスのオーケストレーションで提供されています。セキュリティの観点から言えば、コンテナだけではなくマニュフェストも真正性を確認する必要があります。決して派手ではありませんが、こういった地道な努力によって一歩ずつより良い世界を実現してゆく Watanabe 氏の活動には感心と共感を覚えました。今後ぜひともコミュニティでのコレボレーションをお願いしたいと思います。

Activities in Japan along with 10 Streams of OSS Security Mobilization Plan

弊社サイバートラスト IoT 技術本部の池田宗広から、「OSS Mobilization Plan」で定義された OSS セキュリティ向上のための 10 のアクションである「10 Streams」について、サイバートラストのこれまでの取り組みと未来の計画についてお話をさせて頂きました。
弊社は 2022 年 10 月に 10 Streams への対応をコミットするプレスリリースを出しており、今回のスピーチはこれに関してより具体的な内容を述べたものです。プレスリリースでは 10 Streams のうち 7 つの領域への対応を明らかにしましたが、ここではその中でも特に以下の 3 点について、具体的な活動の状況と今後の計画についてお話ししました。

Stream 3 ：デジタル署名
Stream 9 ： SBOM の普及
Stream 10 ：サプライチェーンセキュリティの強化

弊社アクティビティのステータスとしては、「デジタル署名」はまだまだこれから、「SBOM の普及」は着手済みだが今後ますますの貢献が必要、「サプライチェーンセキュリティの強化」は活発に活動中で今後も継続、といったものになります。
スピーチ後 Brian Behlendorf 氏が壇上に来て「なかなか良い活動をしているじゃないか。今後もしっかりやりたまえわっはっは」（超訳）というお言葉を頂きました。

壇上で Brian Behlendorf (GM, OpenSSF) に詰め寄られる筆者

Can SBOMs Everywhere Work in Japan?

OpenSSF メンバーであるサイボウズの Takuya Yoshikawa 氏から、SBOM の普及に関する考えが述べられました。
SBOM の重要性は理解しているものの、SBOM には様々な使い方があるため普及させるためには SBOM の利点、ユースケースをよりクリアにする必要があるのではないかとのことです。例えば ISMS でセキュリティアセスメントのために SBOM を用いることといったような明確な要求があるとよい、というアイディアが述べられていました。また、SBOM を生成・利用しようとすると色々と手間のかかることも多いので、ツールの一層の整備も普及には必要ではないか、とのこと。
SBOM については OpenSSF の「SBOM Everywhere SIG」でもユースケースの特定について盛んに議論が行われています。2021 年に SBOM の標準フォーマットとして ISO 化された SPDX ^※4 は元々はライセンスコンプライアンスを発端に開発が進められましたが、セキュリティの文脈でも SBOM は重要なキーワードとなっています。このように様々な使い方ができるため、反面として SBOM ってなんの役にたつの？という疑問が生まれている状況かと思います。弊社サイバートラストもこういった議論へ積極的に参加し、情報の還元・整理・発信に努めていきたいと思います。

以上、OpenSSF Day Japan の全てのスピーチは Youtube ^※5 で公開されています。ここでは書ききれない様々なお話がされているので、じっくりとご覧ください。

※4: SPDX
※5: OpenSSF Day @ OSS Japan 2022

会場の様子と筆者の感想

OpenSSF Day Japan でのスピーチはどれも興味深い内容で、OSS セキュリティ強化・向上の現在と未来を俯瞰するための重要な情報を含んでいたと感じています。
会場の参加者は目算で 40～50 名程度でした。筆者は 6 月の OpenSSF Day NA にも参加したのですが、NA ではそれほど広くない部屋に 120 名ほどが集まったため、立ち見も出ていました。これに比べると今回の OpenSSF Day Japan は、Open Source Summit Japan 全体のキーノートを行う一番広い部屋で開催されたこともありやや寂しげな雰囲気ではありました。
日本からの OpenSSF 参加メンバーは現状、弊社サイバートラストを含め３社に留まっています。OpenSSF Day の後、メンバーではない企業・団体からいらした何人かの方とお話しする機会があったのですが、皆さん一様に活動の重要性は理解しており現場は加入する気満々だが上位層を説得するための決め手に欠けている、ということを仰っていました。筆者を含め弊社内では当然、OpenSSF の重要性と参加する意義が理解されており、筆者は OpenSSF の野良宣伝活動を行っているくらいです。しかし皆さまのご意見を聞くに、OpenSSF への加入にはどんな意味があるのか、加入するとどんな良いことがあるのかを、より一層具体的に示す必要があると感じました。ここは深く考え、皆さまにお伝えできるようにしようにしていこうと思いを新たにしました。野良活動なのでなんの見返りもないのですが、これも一種の OSS 貢献だと思って頑張りたいと思います。

最後に

OSS が世の中のソフトウェアに占める割合は益々増えており、まさに「遍在」といえる状態にまでなっています。その一方で OSS は革新的な技術の揺りかごとして機能していることも事実といって差し支えない状況かと思います。この両面からいえることは、OSS のセキュリティ強化・向上はソフトウェアを作る側・使う側双方にとって喫緊の課題ということです。
OpenSSF Day Japan / Open Source Summit Japan が開催された一か月後となる 2023 年 1 月 6 日には、経済産業省と米国国土安全保障省との間で「サイバーセキュリティに関する協力覚書」が署名されるという動きがありました。これは OSS を含むサイバーセキュリティの強化について両国の協力関係を強化するためのものであり、2022 年 12 月に閣議決定された国家安全保障戦略におけるサイバーセキュリティ強化の方針に沿ったものとなります。OSS を含むソフトウェアのセキュリティ強化は、OSS コミュニティはもとより国家および国家間の関係においても注力すべき対象となっています。
OpenSSF は OSS セキュリティ強化活動の中心にあるプロジェクトであり、OSS Security Mobilization Plan とそこで定義された 3 Goals、10 Streams は、向こう数年間の OSS セキュリティ向上に対する強力な指針となっています。セキュリティと OSS を DNA とする弊社サイバートラストは、OSS Security Mobilization Plan への参画と実行をコミュニティとともに推し進めることで、より良い世界を実現していきます。
皆さま、OpenSSF で一緒に世界に向けた活動を行っていきましょう！