Open-source software: A first attempt at organization after CRA
2024/11/05 HelpNetSecurity — オープンソース・ソフトウェア (OSS) 業界が開発しているのは、グローバル・インフラスのコアとなるソフトウェアであり、プロプライエタリ・ソフトウェアの大手企業の一部でさえ、クラウド・サービスに Linux サーバを採用しているほどである。しかし、Cyber Resilience Act により提起されたヨーロッパにおける問題などに対して、有機的な対応ができる代表団体の設立/組織化などは、これまでに一度も試みられていない。
長年にわたり、私が主張してきたのは、個人の熱意に基づく運動を、市場価値 (EU だけで 100 billion euros 超えると推定) を表す構造化されたものに、変えていく必要性である。
もちろん、その課題は、OSS の運動を歪めることなく変革を実行することにある。なぜなら、プロプライエタリ・ソフトウェアの世界と、ロビー・システムへの構造的依存を再現することではなく、ソフトウェアからユーザー組織へ向けた、同じ種類の革新的なアプローチをもたらすことに目標があるからだ。
EU の Cyber Resilience Act が変革の原動力に
Cyber Resilience Act は、多くの人々を目覚めさせる衝撃的な法律である。EU の技術代表者たちが、OSS のセキュリティに疑問を投げかけるとは、どのような意図に基づくものなのだろう。その答えは、きわめて簡単である。OSS 側にいる私たちが、彼らに対して、何も言わなかったからであり、誰もセキュリティを気にしていないと、彼らが決めつけたからだ。
それは近視眼的な見方であるが、内部関係者の間でさえ、オープンソース・ソフトウェアに対する認識が欠如していることの表れでもある。残念ながら、コミュニケーションへの配慮がほとんどないこと、そして、セキュリティなどの共通の問題に対する戦略が欠如していることの、直接的な結果であると言わざるを得ない。
Heartbleed と Log4Shell のインシデントにより、オープンソース・ソフトウェアのセキュリティに対して、誰も気を配っていないという認識が生まれた。あたかも、Linux ベースの多数のサーバとネットワーク機器に支えられたグローバル・インフラが、まったくの偶然というか、幸運な偶然により機能しているかのような認識である。
最終的に Cyber Resilience Act は、いくつかの変更を加えて、EU の立法者により承認され、受け入れられるようになった。そこで、最も重要なのは、”Open Source Steward” の創設である。
Open Source Steward とは、以下の目的を持つ法人 (製造業者以外) である。
- 商用活動向けの、FOSS (free and open-source software) として認定された、デジタル要素を取り込んだ製品の開発を継続的にサポートする
- それらの製品の育成能力/実現可能性を確保する
したがって、製造業者により収益化されていない、デジタル要素を取り込んだ FOSS 製品の提供は商用活動とは見なされず、Cyber Resilience Act で商用ソフトウェアに定められる規則の対象にならない。
Cyber Resilience Act (CRA) の定めによると、自動更新機能を備えたソフトウェアに対しては、デフォルトでセキュリティ更新を自動的に展開する必要があり、また、ユーザーがオプトアウトできるようにする必要がある (可能な場合は、機能の更新からセキュリティ更新を分離する必要がある)。
それらの企業は、製品のリリース前から、リリース後の 10年間を通じて、また、予想されるライフサイクル全体を通じてサイバー・リスク評価を実施しする必要がある。さらに、インシデントに気付いた場合には、24時間以内に ENISA (EU cybersecurity agency) に通知し、解決の措置を講じる必要がある。それに加えて、ソフトウェア製品には、サイバー・セキュリティ・チェックの最低レベルを満たしていることを示す、CE マークを付ける必要がある。
その一方で、オープンソースの管理者たちは、製品のセキュリティに注意する必要があるが、それらのルールに従う必要はない。
その代わりに、セキュリティのベスト・プラクティスに関する、コミュニケーションと情報共有を改善する必要が生じる。セキュリティのベスト・プラクティスが、常に共有されているわけではないが、すでに導入されているケースもある。そのため、最初のアクションは、オープンソース・ソフトウェア業界全体で、それらを標準化するプロジェクトを作成することだった。
OSS 業界には真の業界になる必要がある
CRA の最初のバージョンを改訂するプロセスで、最もアクティブに行動したのは Eclipse Foundation だった。したがって、セキュリティのベスト・プラクティスを標準化する共同プロジェクトが、その中に “Home” を見つけ出し、すべてのオープンソース組織とプロジェクトに公開されるのは理にかなっている。
このプロジェクトは、Open Regulatory Compliance Working Group と呼ばれており、技術的な面については、GitLab リポジトリが存在する。
このプロジェクトは、2025 年初頭に運用段階に入り、CRA に対する準備を整えていく。なお、CRA は 2026 年に EU レベルで、2027 年には個々のステート・レベルで発効し、国ごとの法律へと適切に移行されることが期待されている。
このプロジェクトには、Mercedes や Nokia などの大企業、Eclipse Foundation プロジェクト、The Document Foundation などのオープンソース財団といった、数多くのメンバー参加しており、追加のメンバーも歓迎される。
私は、このイニシアチブの成功に自信を持っている。オープンソース・ソフトウェア業界の消滅が近づいているという恐怖が人々を目覚めさせ、特にコンパクト化に直面することで、過去の分裂が如何に無意味であったかという事実が、明らかにされたことをの指摘が重要だと思う。
行政の立位置/振る舞いと OSS のセキュリティについては、「その答えは、きわめて簡単である。OSS 側にいる私たちが、彼らに対して、何も言わなかったからであり、誰もセキュリティを気にしていないと、彼らが決めつけたからだ」という説明が、すべてを言い表しているようにも思えます。そして、OSS が生み出し続ける価値は、どのように消費されるべきなのでしょうか? つまり、セキュリティだけに限定して議論すべきではなく、OSS の経済というものを、再認識するところから始めるべきではないでしょうか? 大きなギャップが存在していることは確かなのですから・・・
IoT OT Security News 
You must be logged in to post a comment.