1. HOME
  2. ブログ
  3. Open Source Security Foundation (OpenSSF) 日本でのコミュニティ活動を開始OSSセキュリティ第1回Meetup開催報告

Open Source Security Foundation (OpenSSF) 日本でのコミュニティ活動を開始
OSSセキュリティ第1回Meetup開催報告

―OSSセキュリティ第1回Meetup開催報告―

OSSセキュリティ課題に取り組むプロジェクトOpen Source Security Foundation (OpenSSF) のメンバーが、日本でのコミュニティ活動を開始した。

その第1回目のMeetupが2月28日 サイボウズ 東京オフィスで開催された。

OSSセキュリティに関する同じ問題意識や課題を持つ仲間が集まり、主に日本語で情報を共有して、一緒に前進していける場を目指すというものである。当日はOpenSSFメンバーに限らず、OSSセキュリティに興味がある方はどなたでも歓迎というスタイルであったために、会場には制限いっぱいの約30人が集合した。

そこで、当日の模様を、イベントのアジェンダに沿って簡単に紹介する。

イベントは、リアル開催のみならずオンラインでも配信するというハイブリットなものであり、配信された映像は、OpenSSFチャンネル (https://www.youtube.com/watch?v=Q7dRhdfpD8U)において公開されているので、是非視聴してほしい。

まずは、代表者の挨拶としてTHE LINUX FOUNDATION 日本担当バイスプレジデントである福安 徳晃 氏が登壇し、「オープンソースのセキュリティをどういうふうに考えて、対策をしていくかを皆さんで考える会にしたい。まずは、皆様にオープンソースのセキュリティとはどういうものかという情報提供をさせていただきたい」と口火を切った。

THE LINUX FOUNDATION 日本担当バイスプレジデント 福安 徳晃 氏

OSSセキュリティ課題に取り組み Open Source Security Foundation (OpenSSF)

本講演はまず、サイバートラスト株式会社 OSS/IoT事業統括IoT技術本部 製品開発統括 リードアーキテクト 池田 宗広氏が登壇からスタートした。

サイバートラスト株式会社 OSS/IoT事業統括IoT技術本部 製品開発統括 リードアーキテクト 池田 宗広氏

池田氏は、まず最近のOpenSSFの動向(重要なイベントとOSSコミュニティの動き)を紹介した。過去のインシデント、経済安全保障推進法が2022年に閣議決定したなどの事例が述べられた。

そして、米国大統領令、OSS Security Summit Japanについて解説した。OSS Security Summit Japan では、OSSはどんどん変わるが長期サポートはどうするか、「Upstream first」について活発な議論が行われたようであると述べた。

さらに、OSS Security Mobilization Planについて、3つの目標と10の主要な問題について解説を行った。

最後に、OpenSSFについての紹介を行って、講演を締めくくった。

池田氏の講演資料はこちらでも公開されているので確認いただきたい。 https://speakerdeck.com/lfj/20230208-oss-security-meetup-overview-of-openssf-by-cybertrust

Working Groupについて : Security Tooling / Securing Software Repositories / Best Practices for Open Source Developers

次に、サイボウズの吉川拓哉氏、竹村太一氏から、OpenSSFのWorking Groupについての紹介が行われた。

サイボウズ株式会社 吉川 拓哉 氏(右)、竹村 太一 氏(左)

まず、吉川氏は、「Securityの脆弱性の対応に追われる中、OpenSSFの活動を知り、サイボウズのクラウド基盤の運用をよりよくしようと考えて参加した。いま、公開されている情報を見ながら、これからどのWorking Groupに参加するか検討している」と述べた。

吉川氏は「評価レポートや参考文献も公開されているので、それを見ながら検討している」とのことで、その中からいくつか紹介した。

<WG>Security Toolingについて

Security ToolingはSBOMに関する話が多く、15名ぐらい参加している。SPDXの規格の話、周辺ツールやライブラリの開発にフォーカスしているようだ。

SBOMの普及について目標の設定、どこのファンドに提案するか、関連ツールの作成などについて、月2回程度活動している。

Security Toolingに参加するのであれば、「自社でSBOMのベストプラクティスを試す、試す中でツールはニーズに合うかなども検証できるのがメリットではないかと考えている」。(吉川氏)

Securing Software Repositories

次に<WG>Securing Software Repositoriesについてもの解説が行われた。

Securing Software Repositoriesは、Google社の社員がリードしており、20-40名が参加している。OSSリポリトジ、レジストリのメンテナンスのための活動が中心のようだ。

貢献のポイントとしては、OpenSSF技術の適用推進、クリティカルなリポリトジでのベストプラクティスが挙げられる。参加するとしたら重要なカギとなるようなOSSにフォーカスして取り組んでいるので、日本のメンバーとしては日本では重要ではあるが、世界的にはそうはなっていないものを提案するとかが考えられるとした。

最後にサイボウズの今後の対応についてどういった検討がなされているかについても述べられている。Kubernetesの基盤移行を実施しているので、これをしっかり進めながら、SBOMの対応しやすい仕組みをと考えているようだ。その後、CI/CDパイプラインの組み込みなども考えているようである。
サイボウズ はOSSの利用者としてだけではなく、OSS作ったものを公開して使ってもらうということもあるので、リポリトジの管理などをWorking Groupのプラクティスを参考にしたいと述べた。

吉川氏、竹村氏の講演資料はこちらでも公開されているので確認いただきたい。 https://speakerdeck.com/lfj/20230208-oss-security-meetup-securing-software-repositories-and-security-tooling-by-cybozu

「BEST Practices for Open Source Developers Working Group」

次にルネサスエレクトロニクス株式会社 宗像尚郎氏より、「BEST Practices for Open Source Developers Working Group」と題しての講演であった。

ルネサスエレクトロニクス株式会社 宗像 尚郎 氏

BEST Practices for Open Source Developers については、Developers向け、つまりはユーザー向けではなく、開発者向けにベストプラクティスを提案するものである。

ビジョンは、「①グットプラクティスを特定しましょう、②メインテナーが勉強できるような教育をしましょう、③Provide toolsの3つが柱、スコープである」と宗像氏は説明する。

Current Workは全部で、13個ある(詳細はこちらの講演資料で確認してほしい)。

実は、OpenSSFの活動を見ると、特定の人間が引っ張っていっている。そのことに問題はないが、これから引っ張っていく人間が増えることが大事という課題も提示した。とにかく、議論を続けることが大事であり、モチベーションが高い人が今後もその意識を低下させないようにすることも大事であると講演を締めくくった。

宗像氏の講演資料はこちらでも公開されているので確認いただきたい。 https://speakerdeck.com/lfj/20230208-oss-security-meetup-best-practices-for-open-source-developers-by-renesas

セキュア ソフトウェア開発について : ソフトウェアを安全に使用・開発する方法について学ぶ無料オンラインコース

最後にLinux Foundation 柴田次一氏から、トレーニングコース LFD-121-JP「セキュア ソフトウエア開発」が紹介された。このトレーニングコースの監修、日本語対応などを担った人物だ。

Linux Foundation 柴田 次一 氏

LFD-121-JP は12月に発表になったが、すでに日本でも600人程度の方が受講されているとのことだ。
3部構成となっており、200-300ページのテキストのようだ。

第1部は要件、設計、再利用である。ここでは、セキュリティの基本、セキュア設計の原則、外部ソフトウエアが学べる。

第2部は実装についてである。入力検証、データの安全の処理、他のプログラムの呼び出し、出力の送出について学ぶ。

そして、第3部は検証とより専門的なトピックである。ここでは、検証、脅威モニタリング、暗号、その他のトピックなどについて学ぶ。

柴田氏は、「このe-learningにおいて、必要最小限のセキュリティの知識が得ることができる。好きな時間に視聴ができるので、是非とも受講してほしい」と述べた。

柴田氏の講演資料はこちらでも公開されているので確認いただきたい。
https://speakerdeck.com/lfj/20230208-oss-security-meetup-secure-software-development-training-course-by-linux-foundation

OSSセキュリティMeetupは今後も開催されるようである。

JapanSecuritySummit Updateでも記事、メールマガジンでの案内を行う予定であるので、メールマガジンへの登録をお勧めしたい。登録はこちら

OSSセキュリティMeetupについて ー OSSセキュリティの重要性
現代社会を支えるITシステムは、OSSに広く依存しています。企業の製品やサービスに含まれているソフトウェアのうち70%〜90%はOSSであると言われています。企業は多くの場合、OSSの活用を通して開発スピードと品質を高め、技術革新を目指します。OSS採用により、産業全体でOSSのメリットを共有する一方で、脆弱性が見つかればその影響は広範囲に及びます。このためOSSセキュリティを確保することは非常に重要であり、国や組織を超えた協力的な取り組みが求められています。

関連記事

サイバーセキュリティの課題をテーマ別に紹介中!!