Open Source Security Summit Japanの成果

By Brian Behlendorf, OpenSSF

2022年8月23日、OpenSSF ( https://openssf.org/ ) とLinux Foundation Japan ( https://www.linuxfoundation.jp/ ) は、Open Source Security Summit Japanを開催しました。日立製作所、富士通、LINE、NEC、NTTデータ、トヨタ自動車、スズキ、東芝、SBIグループ、OpenSSFメンバーであるルネサス エレクトロニクス、サイバートラスト、サイボウズなど20社以上の一流企業のサイバーセキュリティ専門家が、経済産業省やAIST、IPA、JPCERTからの代表者と共に参加しました。私たちは、オープンソースソフトウェア (OSS) のセキュリティの課題、グローバルなソフトウェアサプライチェーンにおける最新の課題、および改善を加速させる方法について議論するために集まりました。今回の会合は、Linux FoundationとOpenSSFが今年米国ホワイトハウスと共同で開催した同様のサミットに続くもので、世界中の政府や産業界が OSS セキュリティに集中し、協力することへの関心と優先度が高まっていることを示しています。

会合の成果 / 重要事項

この日は、他の政府がオープンソース ソフトウェアのセキュリティとこの取り組みに関する世界的な調整でおいている優先事項について、Jim Zemlinによるプレゼンテーションで現在の世界的な状況の概要を説明することから始まりました。さらに、米国ホワイトハウスの国家サイバー長官Chris Inglis氏 ( https://www.whitehouse.gov/oncd/ ) がこのイベントのために事前収録したビデオでこのテーマについてホワイトハウスがオープンソースコミュニティおよび世界のパートナーと協力して取り組むこと、そして今日の対処の緊急性が強調されました。

続いて、経済産業省 (METI) サイバーセキュリティ・情報化審議官の上村昌博氏によるプレゼンテーションが行われました。日本でもソフトウェアセキュリティを確保するための取り組みが進行中です。経済産業省は、サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォースを設置しました。タスクフォースでは、OSSの利活用及びそのセキュリティ確保に向けた管理手法に関するプラクティス集 ( https://www.meti.go.jp/press/2022/05/20220510001/20220510001-1-2.pdf ) の策定やSBOM活用促進に向けた実証事業（PoC）の実施などに取り組んでおり、PoCが成功した場合、多くのセクターでの迅速な展開を視野に入れています。また、上村氏はPoCの取り組みとロードマップについて説明したスライドを共有し、その翻訳版を共有することを許可してくれました ( https://openssf.org/wp-content/uploads/sites/132/2022/08/082322_Masahiro-Uemura_Slides4OS3JPN.pdf )。 私たちはこれまでのMETIの仕事の深さに非常に感銘を受けており、私たちのSBOMの取り組み、特に動員プランの「SBOM Everywhere」ストリームがこの取り組みを加速させることができる方法をを模索したいと考えています。

イベント全体を通して、OSSセキュリティは世界的な課題であることが繰り返し強調されました。 日本の産業界は、世界の他の地域と同じように、最近の脆弱性による深刻な影響を受けており、おそらく日本の経済と社会のデジタル化が急速に進んでいるため、より深刻かもしれません。対応するための業界全体の取り組みが求められています。

OpenSSFチェアパーソンJamie Thomas氏からの歓迎ビデオの後、私のプレゼンでOpenSSFコミュニティが考案したOSSセキュリティに大きな影響を与える10の異なるイニシアチブを特定する「OSSセキュリティのための動員プラン ( https://www.linuxfoundation.jp/publications/2022/08/oss_security_mobilization_plan/ )」の詳細を発表しました。そして、このプランのそれぞれのストリームが、日本の国家政策や優先事項とどのように連携できるか、またプランのさらなる定義と実施に日本の産業界がどのように参加できるかを議論しました。

昼食後、私たちはプランの1つであるSBOMについて掘り下げることにしました。東芝の忍頂寺 毅氏とLinux FoundationのShane Coughlanは、日本の自動車/エレクトロニクス産業が、SPDX標準のサブセットを使用してSBOM共有システムを実装するOpenChainプラットフォーム使用に移行している取り組みについて紹介しました。このシステムは現在、セキュリティ用途で稼働しており、日本企業も目的に合致した新技術を率先して採用することが可能だということを示しています。SPDXイニシアチブのKate Stewartもリモートから参加し、デプロイメント経験から多くのことが分かり、それをコアSPDX標準のさらなる開発に取り込んでいることを議論しました。また、OpenSSFコミュニティが、SPDX 2.3以降に向けてSPDXのコアライブラリを最新化し、顧客や政府からの需要の高まりに応じた幅広い採用を促進するために行っている投資について紹介しました。

最後に、日本のOpenSSFメンバーであるサイバートラスト、サイボウズ、ルネサス エレクトロニクスから、日本におけるオープンソースソフトウェアのセキュリティ向上のための課題と機会についてお話を伺いました。

今日のソフトウェアサプライチェーンは、基盤のコンポーネントとオペレーションの両方でオープンソースソフトウェアに大きく依存しており、特に産業界と政府の両方が早くからOSSを受け入れている日本も同様であるという認識が、参加者の間で共有されました。しかし、セキュリティ問題のリスクを軽減するための長期戦略には、長期的な思考と投資が必要です。日本の企業や政府は今こそ、そうした投資を始めるのが良いだろうと、会場の雰囲気は、この見解を支持しているように見えました。

METIの上村氏は、会合後、次のような見解を共有しました。

「今日の会議に参加し、オープンソースソフトウェアのセキュリティの標準化を含めたいろんな取り組み、これまで開発者の方々、あるいはアメリカ政府においてどういう方向性でセキュリティを政策的にも措置として強めていくのか、これを良く知ることができ、とてもインフォーマティブなセッションだったと思います。

経済産業省のソフトウェアセキュリティの取り組みにおいてもこれは重要なものとして、産業界の方から協力を得ながら関係省庁からの力を得ながらタスクフォースで検討しています。そこではSBOMの活用をどう進めていくのかというのは大きな課題ですが、今日ここでLinux FoundationとOpenSSFをはじめ関係の方々、参加者の方々と意見交換をできたので、この最新の動向を今後の検討にも生かして、より良い、実際に使い勝手の良い、より効率的で、コスト的にも適切で、結果としてセキュリティが向上していくような取り組みを引き続き進めていきたいと思います。」

OpenSSFは、現代のグローバル社会を支えるオープンソースソフトウェアの使用と開発においてセキュリティ中心のアプローチを発展させるために、日本のビジネスおよび政策コミュニティと連携する準備ができています。いつ、どこでお手伝いできるかお知らせください。

ブログで紹介されたすべての写真は、こちらをご覧ください : https://www.linuxfoundation.jp/blog/2022/08/outcomes-from-open-source-software-security-summit-in-japan/