OSSリスク低減に向けてホワイトハウスが支援を約束 ロードマップも発表：Cybersecurity Dive

CISAは、OSSのセキュリティに関するロードマップを発表した。重要インフラに関するセキュリティリスク軽減に向けてOpenSSFと連携する。

[David Jones，Cybersecurity Dive]

　2023年9月12日（現地時間、以下同）に米国ワシントンD.C.で開催された「Secure Open Source Software Summit」において、バイデン政権のサイバーセキュリティ責任者が、オープンソースソフトウェア（OSS）コミュニティーと民間企業の幹部に対するさらなる支援を約束した。

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、OSSのセキュリティに関するロードマップを発表した（注1）。このロードマップは、より安全なエコシステムを構築し、アプリケーションの分野でOSSに依存していることによるセキュリティリスクを軽減するために、連邦政府機関の役割を確立する目的で設計された。

OSSのセキュリティリスク低減に向けた米国の取り組みとは

　連邦政府においてさまざまな業界のリスクを管理する機関は、重要インフラに関するセキュリティリスクを軽減するための大規模な取り組みの一環として、Open Source Security Foundation（以下、OpenSSF）に対する支援を発表した。

　2023年9月13日に終了予定のこのサミットは、OSSコミュニティーが連邦政府の役人や民間企業と連携してOSSを使用する際の潜在的なセキュリティリスクを減少させる継続的な取り組みの一環だ。

　OSSは現状、ほとんど全てのアプリケーションで使用されているためこれに脆弱（ぜいじゃく）性が見つかると大きな影響が生じる。例えば「Apache Log4j」の脆弱性に関連する危機では、何百万ものアプリケーションがサイバー攻撃者による潜在的な脅威にさらされた。

　サイバーセキュリティの強化を目的としたバイデン政権における2021年の大統領令に続いて（注2）、関係者はOSSのエコシステムを強化し、壊滅的なリスクを避けるために取り組んでいる。

　ホワイトハウスは2022年1月にサミットを開催し（注3）、OSSコミュニティーを支援するためにテクノロジー業界の大手企業に対して投資拡大を呼びかけた。

　CISAのディレクターであるジェン・イースタリー氏は「OSSは全ての重要インフラ業界を支えるソフトウェアの一部だ。CISAはOSSコミュニティーと連携して、この恩恵を安全に享受できるように務める」と述べた。

　OpenSSFの関係者によると同組織はセキュリティを強化するために、ソフトウェア部品表（SBOM）の整備やソフトウェア開発者へのセキュリティ教育、脆弱性に関する開示の強化などの具体的な対策を講じているという（注4）。

（注1）CISA Open Source SoftwareSecurity Roadmap（CISA）
（注2）White House cybersecurity order lands with a plea for private sector help（Cybersecurity Dive）
（注3）Big tech pushes White House for open source funding, standards after Log4j（Cybersecurity Dive）
（注4）CISA’s Open Source Software Security Roadmap（OpenSSF）

原文へのリンク