米連邦政府は1月13日(現地時間)、Apple、Google、Amazonなどいわゆるビッグテックとオープンソースソフトウェア(OSS)組織のトップを招いたサイバーセキュリティ会議を開催した。2021年12月に発見されたLog4jの脆弱性を契機に緊急で開催が決まったものだ。
参加企業および組織は、Akamai、Amazon、Apache Software Foundation、Apple、Cloudflare、Meta(旧Facebook)、GitHub、Google、IBM、Linux Foundation、Open Source Security Foundation、Microsoft、Oracle、RedHat、VMWare。OracleはLog4jライブラリが実行されるJavaソフトウェアプラットフォームの所有者だ。
政府側からは、科学技術政策局、国防総省、商務省、エネルギー省、国土安全保障省、サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー(CISA)、国立標準技術研究所、国立科学財団が参加した。
会議では、コードとオープンソースパッケージのセキュリティ上の脆弱性の防止、問題の検出と修正のプロセス改善、修正の配布と実装の応答時間の短縮というテーマに焦点を当てて話し合ったとしている。ジェン・サキ報道官は「今日のセッションでは、公共部門と民間部門がそれぞれのシステムのセキュリティに関して協力する方法について、非常に建設的な議論ができた」と語った。
GoogleおよびAlphabetのCLO(最高法務責任者)、ケント・ウォーカー氏はこの会議の後、オープンソースの資金調達と管理には政府と民間部門の協力が必要だと公式ブログで語った。
「OSSのコードは一般に公開されており、誰でも無料で使用、変更、レビューできる」ため、国の安全保障システムにも多くのOSSコードが採用されているが、「そうした重要なコードのセキュリティを維持するための正式な要件や標準はほとんどない。実際、これまでの脆弱性修正などの作業のほとんどはボランティアベースで行われている」とウォーカー氏は指摘した。
「OSSを維持し、保護するための新しいモデルを作成するには、エコシステム全体でさらに多くの作業が必要であることをわれわれは知っている。本日の会議では、そうした作業を行う方法に関する一連の提案を共有した」(ウォーカー氏)
Googleはバイデン政権が8月に開催したセキュリティ会議にも参加しており、その後セキュリティに100億ドル投資すると発表した。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR