RSAC: Three Strategies to Boost Open-Source Security
2024/05/08 InfoSecurity — OSS におけるセキュリティ強化は、この種のコミュニティが非公式かつユビキタスであるため、政府にとって重要な課題となっている。ソフトウェア全般にわたって Security-by-Design を推進し、脆弱性の悪用やサプライチェーン・インシデントを減らすという米国政府の取り組みにおいて、OSS は極めて重要な要素になっている。RSA Conference 2024 が、政府関係者と OSS の関係者たちが、このユニークなエコシステムで Security-by-Design の原則を推進する方法について、議論する機会を提供した。
ここでは、OSS 開発において実用的/協調的な方法で、セキュリティを確実に推進するための3つの主要なアプローチを紹介していく。
政府と協力するための OSS コミュニティからの統一された声
OSS 開発における End-toEnd プラットフォーム GitLab の、CISO である Josh Lemos は 、「OSS のエコシステムに適用できる、優れたレギュレーション・モデルは今のところ存在しない。と言うのも、一般的に OSS プロジェクトはボランティアにより運営/管理されており、彼らのコードが他の人々や企業により使用される際に、セキュリティ問題に対処する契約上の義務がないからだ」と述べている。
彼は、各国の政府は OSS コミュニティと緊密に協力し、この分野のレギュレーションに関する最善策を講じる必要があると指摘している。
Josh Lemos は、「レギュレーションを策定するための協力的なアプローチが存在するなら、私たちが求めているような保証を得ながら、有意義なセキュリティの成果が得られる可能性は、十分にあると思う」と言う。
その好例が、EU Cyber Resilience Act の初期ドラフトである。
Open Source Security Foundation (OpenSSF) の GM である Omkhar Arasaratnam は、「このレギュレーションの初期ドラフトには、OSS のコントリビューターに責任を負わせるなど商用ソフトウェアの生産者と同じように扱い、OSS エコシステムに深刻な損害を与える条項があった」と指摘している。これらの条項は、OpenSSF などの団体からのフィードバックを受け、最終ドラフトでは大幅に改善されている。
Omkhar Arasaratnam は、「OSS のセキュリティ問題をめぐって、世界各国の政府や法律家に働きかける際には、この経験から教訓を得ることが重要だ。特に、幅広い視点を得るために、コミュニティを適切に組織化すべきだ。私たちは、あらゆるコミュニティからの参加を促し、高く評価されるような最低限の共通事項を提唱する必要がある」と、Infosecurity に語っている。
オープンソースにおける Security-by-Design の促進
OSS 開発におけるセキュリティ強化における主な障壁の1つとして、”経済的不透明性” というものがあると、Arasaratnam は主張する。
つまり、OSS コードを利用するメーカーが、ソフトウェア開発をスピードアップできるというメリットに関する問題だ。しかし、大半のメーカーは、利用可能なサービスのセキュリティやメンテナンスには貢献しない。
Arasaratnam は、「人々は、特に製造業者たちは、ソフトウェアを自分たちのものとして、大切にする義務があるとは必ずしも考えていない」と述べている。そのような状況を改善するインセンティブを生み出す方法は、安全でない OSS に対する法的責任を、開発者自身ではなく、コードを製品に組み込んだメーカーに課すことである。
RSA Conference のパネル・ディスカッションで、GW大学の国家安全保障/サイバー・セキュリティ/外交法実務担当を務める Jonathan Cedarbaum 教授は、自動車業界と同様のアプローチを提唱している。自動車メーカーは、サードパーティ・ベンダーから自社の自動車に組み込まれたコンポーネントの安全性に対して責任を負っている。
Cedarbaum 教授は、「そうすることで、より良いセキュリティの実践が連鎖的に推進されるはずだ。大手ベンダーは購入する部品を精査し、欠陥を探し、自ら修正するか、修正を要求するようになる。つまり、大きなインセンティブが働くことになる」と説明する。
米国 CISA の Senior Technical Advisor である Bob Lord は、「メーカーが消費するソフトウェアが、Rust のようなメモリ・セキュア・プログラミング言語の採用へと、向かっていることを明確にすべきである」と述べている。
AI がオープンソースのセキュリティを強化する方法
RSA Conference における、もう1つの重要なテーマは、OSS のセキュリティを大幅に強化するために、AI が提供するチャンスに関するものだった。
それを念頭に、Department of Defense agency the Defense Advanced Research Projects Agency (DARPA) は、AI チャレンジを開始した。具体的に言うと、AI とサイバー・セキュリティの専門家たちが、OSS を含むソフトウェア・コードを、自動的に保護する AI 駆動型システムの開発に挑戦している。
OpenSSF などのオープンソース団体は、Google や Microsoft などのテック・ジャイアントと共に、このチャレンジで DARPA と協力し、コミュニティに利益をもたらすソリューションが開発されるよう支援している。優勝したソリューションは、2025年の DEFCON カンファレンスで発表される。
Arasaratnam は、「このイニシアチブが、数多くの革新的なソリューションにつながり、OSS の開発者がコードを簡単に保護できるようになると期待している。受賞したソリューションは、OpenSSF プロジェクトとしてオープンソース化され、その後も永続的に運用される予定だ」と述べている。
GitLab の Josh Lemos は、「生成 AI ツールが、OSS コードの安全な開発を容易にする、いくつかの方法について説明したい。その1つは、これらのツールを使って、開発者と一緒にテスト・ケースを生成することだ。私の仮説は、テスト・ケースをソフトウェアに組み込む前提から始まり、開発ライフサイクルを通じて、より良い形で、よりセキュアなコードを作成することだ」と指摘している。
さらに彼は、「もう1つは、AI を使って依存関係を分析することで、防御が必要なソフトウェアを最小化することだ。それらの依存関係が使用される場合には、パッチを当てるべき依存関係の数を、減らすための修正が提案される」と説明している。
今年の RSA Conference ですが、今日の記事で3本目の関連トピックとなります。さまざまな発表などがあるカンファレンスなので、特に今年がというわけではないのでしょうが、メディアが取り上げるトピックが多いようにも思えます。よろしければ、以下の RSA Con 2024 関連記事も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.