OSSセキュリティ強化・OpenSSFの最新動向を徹底解説!
OSSセキュリティ関連のトレンドー特にサプライチェーン攻撃に注意!
毎年IPAから「情報セキュリティ10大脅威」が発表されているが、2022年はランサムウェアの脅威だけでなく、サプライチェーン攻撃が順位を上げた。新規の脅威としてはゼロディアタックなど、公開された対策情報を悪用した脆弱性を突く攻撃が顕在化している。ランサムウェアの攻撃も継続しているが、最近は製造業や流通業をターゲットにしている点が新しい動きである。現状では、攻撃者はContiやLockbit2.0が大半を占め、情報流出がセットで発生している状況となっている。
ランサムウェアの被害はOSSだけが狙われているわけではないが、いまやOSSユーザーは幅広い範囲で広がっており、東京証券取引所や金融勘定系、交通・エネルギー系などの重要インフラでも使われている状況だ。これらが脅威にさらされると、我々の生活にも大きな影響を及ぼすため、ますますOSSセキュリティが重要になっているといえるだろう。 実際に米国ではコロニアル・パイプラインの攻撃で操業が一時停止したり、コスタリカ政府も攻撃で緊急事態宣言が出されたりと、ランサムウェア攻撃で大きな被害にあったことは記憶に新しい。このような事態を受けて、OSSコミュニティも敏感に反応している。ネットワーク監視ツールの「SolarWinds」にマルウェアが混入し、米国で100以上の組織がバックドアからの侵入を許した。そのため2021年には「国家のサイバーセキュリティ強化について」という10セクションからなる米国大統領令が政府機関全体に発令された。
また2021年12月には、Javaのログラブラリー・log4jに深刻な脆弱性が発見され、これを突いた攻撃が多発。その影響範囲も大きく、対応に苦慮したユーザーは多いであろう。このような事態を受け、今年に入って米国ホワイトハウスにて「OSS Security Summit」が2回ほど開催された。OSSとサプライチェーンセキュリティの強化、OSSコミュニティの効果的なサポートについて議論され、アクションプランが策定された。
たとえば、第一回のサミットでは「PJ Alpha-Omega」というプロジェクトが発足し、重要OSSを特定してセキュリティを向上したり、脆弱性を自動ツールで検出したり、OSSセキュリティの底上げを目指している。また第2回のサミットでは、3つのゴールと10のストリーム(主要問題)を定義・特定し、その解決策を練っているところである。
今年8月には、日本でもThe Linux FoundationとOpen Source Secyurity Foundation(以下、OpenSSF)の主催により、OSS Security Summit Japanを開催した。OpenSSFメンバーとしては、サイバートラスト、サイボウズ、ルネサスエレクトロニクスが参加し、OSSセキュリティの問題共有、SBOMの活用、OSPOといったコミュニティ活動の橋渡し役など、セキュリティ強化改善の施策を議論したばかりである。
また政府も動きだしている。この5月に「経済安全保障推進法」が成立し、基幹インフラの信頼性を確保するために、サイバー攻撃が入り込まないように政府の審査を受けることが義務づけられた。2024年に制度運用がスタートするので、OSSを使うすべての企業は大きな影響を受けるであろう。
Linux Foundationの傘下で、セキュリティを強化・向上するOpenSSF
さてサイバートラストほか、2社が日本から参加しているOpenSSF(https://openssf.org/)とは、Linux Foundationの傘下で、OSSセキュリティ強化や向上を目的に、業界横断的なコミュニティとして機能しているプロジェクトである。その構成はGoverning Boardをトップに、Technikal Advisory CouncilやCommitteesがあり、その配下に7つのWorking Groupsと、3つのAssociate Projectsが配置されている。また、各Working Groupsは以下のとおり。
これらのOpenSSFの各活動がOSSのライフサイクルにおいて、どこにマッピングされるのかを示したものが下記の図になる。
サイバートラストは、OppenSSFの中でIoT OSSのセキュリティに注力しているが、そもそも同社は日本初の商用電子認証局を運営し、MiracleLinuxも20年以上にわたり提供してきたディストリビュータだ。こういった認証・セキュリティとLinux/OSSの事業の間にIoT事業があるわけである。IoT事業の製品としては、組込み用のEMLinuxと、IoT機器の特定や通信保護を実施して安全に運用するためのライフサイクルマネジメントをソリューション「Scure IoT Platform」をサービス」を提供し、セキュリティとOSSを融合したユニークなビジネスを展開している。 IoT領域の課題(要件)と対応には、脆弱性対応に伴う長期サポート、デバイス真贋性を確認するRoot of Trust、およびソフトウェア真贋性・完全性のためのRoot of Trust/セキュアブート/改ざん検知・防止/コード署名、ソフトウェア構成管理のためのコード署名/SBOM/リモートアップデートの仕組みが求められる。これらをカバーするためにサイバートラストは、以下のような製品を取りそろえ、OpenSSFのエコシステムの一員として、OSSセキュリティの強化と向上を図っている。
OpenSSFにおけるサイバートラストの具体的な取り組みは、セキュリティ教育、デジタル署名、データ共有、SBOMの普及、サプライチェーンの改善などである。
ここまで解説してきた通り、サイバートラストは、ユーザー全体にとって OSSとOSSサプライチェーンのセキュリティ強化が喫緊の課題であると考えており、そのセキュリティ強化の中心となるOpenSSFによって、より良い世界を実現したいと考えている。そのため、ぜひ下記を参照し、日本企業もOpenSSFのメンバーになっていただけると幸いである。