サプライチェーン攻撃のリスクを下げるため、米国政府は新しい規制を打ち出した。オープンソースソフトの採用を進めてきた米国政府がいったん立ち止まる形だ。政府が規制のさじ加減を誤ると、政府にとどまらず企業もオープンソースソフトを利用できなくなる可能性がある。この動きは日本にも波及するのだろうか。
ソフトウェアのサプライチェーンについて、政府機関と民間企業はオープンソースコミュニティーとより協力的なアプローチを取る必要がある。これはセキュリティに関する2021年の大統領行政命令(注1)で定められた目標を達成するためだ。
このような話題が上がったのは、首都ワシントンに拠点を置く連邦機関のCISO(最高情報セキュリティ責任者)やその他のソフトウェア開発専門家によるオンラインイベントでのことだ。悪い話ではないようだが、何が問題なのだろうか。
各企業はオープンソースコミュニティーと協力するための共有責任モデルを採用する必要がある。スミソニアン博物館のシニアアプリケーション開発者兼DevOpsエンジニアであるレイヴン・マニュエル氏は、セキュリティやその他の関連問題に取り組む専任の担当者を置き、リソースを割くことが必要だと述べている。
連邦政府機関は長きにわたりオープンソースソフトウェアの良い消費者として振舞ってきた。今後は貢献者としてステップアップする時期かもしれないと、米国教育省最高情報責任者の情報保証サービス担当ディレクター兼CISOのスティーブン・ヘルナンデス氏は述べている。
先進技術学術研究センターが主催したこのオンラインイベントでは、国家のソフトウェアサプライチェーンのセキュリティを強化しようとするバイデン政権の最近の取り組みを中心に扱った。そのためには連邦政府機関が使用する全てのサードパーティー製ソフトウェアに対する新しいガイドラインが必要になる。
ホワイトハウスは行政管理予算局を通じて、「ソフトウェアメーカーは連邦機関に提供するソフトウェアの安全性を『自己証明』する必要がある」と述べた。「SolarWinds」の脆弱(ぜいじゃく)性をねらったような将来のサイバー攻撃や「Log4j」のような利用者が多い脆弱性を防ぐためだ。
国家安全保障局(NSA)とサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は以前、開発者が率先してソフトウェアのライフサイクルのできるだけ早い段階で、セキュリティ上の脆弱性やその他の問題をスクリーニングするよう促すガイドライン(注2)を発表している。これらの問題が他のアプリケーションに統合されたり、顧客に利用されたりする前に、このガイドラインを適用するように求めている。
マニュエル氏には懸念があるという。ソフトウェア部品表(SBOM)などを通じてソフトウェアのサプライチェーンを修正する責任を負うようオープンソースコミュニティーに圧力をかけることは、事実上オープンソースコミュニティーが連邦政府機関から完全に追い出される可能性があるというのだ。
「オープンソースは非常にゆっくりと政府機関から押し出されることになる」と同氏は言う。コミュニティーは「この非常に規則的な基準を全面的に満たすことはできないだろう」。
さらに、民間企業が政府との契約業務の資格を得るためには、連邦政府の要件を満たす必要があるため、オープンソースから撤退し始める可能性もある。
米国一般調達局CISO室ICAMシェアードサービス部門ディレクターのウィリアム・サラモン氏によれば、連邦政府機関が直面している懸念の一つは、2022年1月に行政管理予算局(OMB)がゼロトラストの実施に関する「M-22-09」メモを発表したとき、政府機関がSBOMへの移行を「急がないこと」が重要だと書かれていたことだ。なぜだろうか。
「連邦調達規制(FAR)評議会が規定する調達に関するさまざまな条項や要件について、政府機関は先走らないように注意する必要がある。なぜなら、業界が政府機関に対するSBOMの提出要件に対応できるように余裕を与える必要があるからだ」とサラモン氏は述べている。
ソフトウェアセキュリティガイドライン案に関するOMBのメモによると、FAR評議会は統一基準に沿った自己証明書に関する規則制定を提案する予定だという。
消費者金融保護局技術革新室(CFPB)のCISOであるティーナ・ロドリゲ氏は、堅固なセキュリティレベルを維持するためには、ライフサイクル全体を通じて高い透明性を確保することが重要だと述べている。
「私の最大の目標は、提供されるソフトウェアの調達時点だけでなく、ライフサイクル全体を通じて透明性を維持することだ」とロドリゲ氏は話す。
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。