現代のインフラストラクチャにおいてオープンソースは不可欠な存在となっています。自動車や醫療機器、電力網など幅広い分野で採用され、その重要性は日に日に増しています。しかし、オープンソースのセキュリティリスクも同時に増加しており、これをどう対策するかが課題となっています。本記事では、アメリカ國土安全保障省情報セキュリティ局(CISA)が掲げるオープンソースセキュリティの取り組みと、その背景にある技術的課題について解説します。
現代の企業はオープンソースをほぼすべてのコードベースに採用しており、現代の自動車には平均120〜200の獨立したコンピュータシステムが含まれています。また、ハーバード大學の研究によると、オープンソースの供給価値は約40億ドル、需要価値は2000倍に達するという社會的影響が確認されています。
オープンソースコミュニティでは、わずか5%の貢獻者が大多數の価値を生み出しており、コミュニティの參加度とセキュリティは密接に関係しています。1990年代のフリーソフトウェア運動から、2005年のリソース差異の指摘、2014年のクラウドネイティブ技術の臺頭、2018年のマイクロソフトのLinuxへの転換など、歴史的背景も重要です。
typosquatting(偽裝パッケージ名)や悪意のあるソフトウェアのアップロードが増加しており、コミュニティの脆弱性が高まっています。また、信頼できるメンテナを模倣した社會工學的攻撃や、個人メンテナへの誘惑や脅迫も問題となっています。
十分な審査や參加が不足しているため、潛在的なリスクが高まっています。特に、パッケージマネージャーやその他のキーパラメータのセキュリティ強化が求められています。
AIを用いたバグ検出やセキュリティ分析の推進、ソフトウェアサプライチェーンの透明性と追跡性の向上。
開発者のセキュリティ意識向上と協力プロセスの改善、橫斷的なバグ報告協調メカニズムの構築。
白宮2023年の報告書を長期政策に転換し、政府と産業界の共同責任を強化。
DARPAは過去にC言語を用いたプロジェクトを実施し、AIが現在の課題を解決する可能性を示唆。
2023年8月に発表されたオープンソースセキュリティに関するRFIに100以上の回答があり、10の連邦機関が関與。
『企業オープンソース消費者ガイド』の発布、ソフトウェアリポジトリのセキュリティグレード分類原則の導入。
『テーブルトップ演習パック』の開発で、RPG形式のリスクシナリオテストを提供。
100のキーパッケージプロジェクトを調査し、メモリセキュア言語(Rustなど)の使用が見られず、依存チェーンの安全性を分析。
MITREと共同で『HipCheck』ツールを開発し、コードレビュー頻度や暗號複雑度などの指標でプロジェクトの信頼度を評価。
依存グラフ技術の推進、ソフトウェア指紋を含む依存関係のグラフを構築。NYX、omniore、basilなどのツールがこの機能を実裝。
國防省(DOD)とDHSが10億ドルを投資し、ソフトウェア指紋追跡技術の開発を推進。
170萬ドルの非希薄資金を提供し、中小企業が安全なオープンソースツールを開発・貢獻を奨勵。ソフトウェア追跡とサプライチェーンセキュリティが重點技術。
AIトレーニングシステムにおけるデータ汚染攻撃が問題で、原始データのない場合、モデルに埋め込まれたバックドアを修復することが困難。
AIモデルが『自由四原則』(Four Freedoms)を満たす必要があり、研究・修正・修復・改善が可能でなければならない。
企業はインターネットから直接ソフトウェアを更新すべきではなく、検証・テストを行うべきと提言。攻撃者はAIサプライチェーンを標的とした攻撃を実施している。
14:00〜17:00にテーブルトップシミュレーションを実施し、QRコードで登録を制限。
オープンソースツールチェーンがデフォルトでソフトウェア指紋を生成するよう呼びかけ、人工による追跡を避ける。メモリセキュア言語への投資で30年間のバッファオーバーフロー問題を解決する必要がある。
オープンソースは現代インフラの基盤であり、セキュリティリスクも同時に増加しています。CISAの取り組みは、コミュニティの強化と技術革新を通じて、持続可能なエコシステムの構築を目指しています。企業や開発者も、セキュリティ意識の向上と協力體制の整備が不可欠です。