OSSリスク低減に向けてホワイトハウスが支援を約束 ロードマップも発表:Cybersecurity Dive
CISAは、OSSのセキュリティに関するロードマップを発表した。重要インフラに関するセキュリティリスク軽減に向けてOpenSSFと連携する。
2023年9月12日(現地時間、以下同)に米国ワシントンD.C.で開催された「Secure Open Source Software Summit」において、バイデン政権のサイバーセキュリティ責任者が、オープンソースソフトウェア(OSS)コミュニティーと民間企業の幹部に対するさらなる支援を約束した。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、OSSのセキュリティに関するロードマップを発表した(注1)。このロードマップは、より安全なエコシステムを構築し、アプリケーションの分野でOSSに依存していることによるセキュリティリスクを軽減するために、連邦政府機関の役割を確立する目的で設計された。
OSSのセキュリティリスク低減に向けた米国の取り組みとは
連邦政府においてさまざまな業界のリスクを管理する機関は、重要インフラに関するセキュリティリスクを軽減するための大規模な取り組みの一環として、Open Source Security Foundation(以下、OpenSSF)に対する支援を発表した。
2023年9月13日に終了予定のこのサミットは、OSSコミュニティーが連邦政府の役人や民間企業と連携してOSSを使用する際の潜在的なセキュリティリスクを減少させる継続的な取り組みの一環だ。
OSSは現状、ほとんど全てのアプリケーションで使用されているためこれに脆弱(ぜいじゃく)性が見つかると大きな影響が生じる。例えば「Apache Log4j」の脆弱性に関連する危機では、何百万ものアプリケーションがサイバー攻撃者による潜在的な脅威にさらされた。
サイバーセキュリティの強化を目的としたバイデン政権における2021年の大統領令に続いて(注2)、関係者はOSSのエコシステムを強化し、壊滅的なリスクを避けるために取り組んでいる。
ホワイトハウスは2022年1月にサミットを開催し(注3)、OSSコミュニティーを支援するためにテクノロジー業界の大手企業に対して投資拡大を呼びかけた。
CISAのディレクターであるジェン・イースタリー氏は「OSSは全ての重要インフラ業界を支えるソフトウェアの一部だ。CISAはOSSコミュニティーと連携して、この恩恵を安全に享受できるように務める」と述べた。
OpenSSFの関係者によると同組織はセキュリティを強化するために、ソフトウェア部品表(SBOM)の整備やソフトウェア開発者へのセキュリティ教育、脆弱性に関する開示の強化などの具体的な対策を講じているという(注4)。
(注1)CISA Open Source SoftwareSecurity Roadmap(CISA)
(注2)White House cybersecurity order lands with a plea for private sector help(Cybersecurity Dive)
(注3)Big tech pushes White House for open source funding, standards after Log4j(Cybersecurity Dive)
(注4)CISA’s Open Source Software Security Roadmap(OpenSSF)
関連記事
- もうOSS保守者に頼らない OpenSSFが「オープンソース消費マニフェスト」を公開
Open Source Security Foundationは、OSSを利用した開発において注意すべき事項をまとめた「オープンソース消費マニフェスト」を公開した。 - 企業の「OSSただ乗り」はもう限界 Log4jの悪夢から何を学ぶか
Tideliftの調査によると、OSSの主要な製作者に対する報酬の格差が明らかになり、ソフトウェアのサプライチェーンを適切に保護する方法についての疑問が呈されている。 - CISOのストレス激増 SECの新インシデント報告ルールが米国企業だけの問題ではないワケ
米国証券取引委員会が施行した新たなインシデント報告ルールが米国企業およびそれに関連した企業のCISOやセキュリティ担当者に与える影響とは。 - ICS/OT領域のOSSセキュリティ強化へ NSAがガイダンスを提供
NSAはOSSのセキュリティ強化を目的としたガイダンスを公開した。ICS/OT領域のセキュリティ保護を目的とし、OSSの開発や保守、パッチ管理などのベストプラクティスと推奨事項を提供している。
© Industry Dive. All rights reserved.