ホワイトハウスの念押し:ハイテク大手のオープンソースが国家安全保障の問題

White House reminds tech giants open source is a national security issue

2022/01/14 BleepingComputer — Log4J の脆弱性による重要インフラへの脅威を受けて、ホワイトハウスは政府機関や民間企業に対して、オープンソース・ソフトウェアとサプライチェーンの安全確保に向けて、リソースを結集し努力するよう養成した。そのためのサミットが開催され、「オープンソース・ソフトウェアのセキュリティ上の欠陥や脆弱性の防止」「セキュリティ上の欠陥の発見と修正のプロセスの改善」「修正プログラムの提供と展開に要する時間の短縮」という、3つのテーマが取り上げられた。

ソフトウェア・セキュリティに関する会議の報告書には、「主要なソフトウェア・パッケージの大半には、オープンソース・ソフトウェアが含まれているが、それは、国家安全保障コミュニティで使用されているソフトウェアも同じである。オープンソース・ソフトウェアは、幅広い使用法と継続的なセキュリティ保守に責任を持つ、多くのボランティアにより価値をもたらしているが、その一方では、セキュリティ上の課題を抱えている」と記されている。

今回のサミットでは Google が、オープンソースのメンテナンス市場として機能する、新しい組織の設立を提案した。この組織は、参加企業によるボランティア活動と、最もサポートを必要とする重要なプロジェクトとの間でマッチングを行うという。

Google/Alphabet の President Global Affairs & Chief Legal Officer である Kent Walker は、「ソフトウェア業界ではオープンソース・ソフトウェアは透明性が高く、多くの人々による問題の発見と解決が約束されているため、一般的にみて安全であるという考え方が、長期間に渡って支配してきた。しかし、実際には、多くの人が注視しているプロジェクトもあれば、ほとんど見ていないプロジェクトもある。オープンソースへの依存度が高まっているということは、国家のインフラを含む重要なシステムが、オープンソース・プロジェクトに依存できるようにする必要がある。そのためには、産業界と政府が一体となり、セキュリティ/メンテナンス/テストなどに関する、基準のベースラインを確立する時期に来ているということだ。これらの基準は、頻繁な更新/継続的なテスト/検証された完全性などに重点を置いた、共同のプロセスにより策定されるべきだ」と述べている。

今回のホワイトハウス・サミットは、Apache Log4j という Java ベースのオープンソース・ロギング・ライブラリの、深刻な脆弱性を狙った攻撃が年末から継続的に行われており、個人/企業ユーザーを問わずに、リモートコード実行の攻撃にさらされていることを受けたものだ。

この会議には、Deputy National Security Advisor である Anne Neuberger と、National Cyber Director である Chris Inglis が出席した。また、国防総省/商務省/エネルギー省/国土安全保障省などの複数の連邦機関の関係者や、Cybersecurity and Infrastructure Security Agency (CISA)/National Institute of Standards and Technology (NIST)/National Science Foundation の代表者も参加している。

その一方で、民間組織としては、Akamai/Amazon/Apache Software Foundation/Apple/Cloudflare/Facebook/Meta/GitHub/Google/IBM/Linux Foundation/Open Source Security Foundation/Microsoft/Oracle/RedHat/VMWare が参加している。

2021年5月にバイデン大統領は、米国のサイバー・セキュリティの防御力を高めるための大統領令を発した後に、ソフトウェア・セキュリティを国家的な優先事項としてきた。この大統領令は、2020年12月の SolaWinds サプライチェーン攻撃の後に出されたものだ。その内容は、悪意の行為者による重要ソフトウェアへのアクセスを監査するための、ガイドライン/ツール/ベストプラクティスを開発することで、サプライチェーン・セキュリティを高めることを、米国政府に求めるものとなっている。

また、同大統領令では、安全なソフトウェア開発のライフサイクルを実践している企業のみが、連邦政府に製品を販売できるとしており、政府の購買力を活用してソフトウェア・サプライチェーンの改善を推進している。

2021年5月の「バイデン政権は大統領令によりサーバー・セキュリティ防御を強化する」から始まった、米政府のソフトウェア・サプライチェーン対策ですが、そこに Log4J 問題が加わり、さらに加速させようとしているようです。オールスターでサミットを開催して、具体的な提案を引き出したいのだと思えます。このサミットに関しては、続報も出ているようなので、継続して翻訳記事をポストしていきます。

%d bloggers like this: