企業が分かっていない「OSSのセキュリティ問題」とは GitHubが指摘：GitHubのCEOが語る未来【第8回】

GitHub社のCEOは、解消すべき最大の課題としてセキュリティ強化を挙げる。背景には、世間を騒がせたオープンソースソフトウェアの脆弱性にまつわる問題があるという。それは何か。

[Aaron Tan，TechTarget]

　ソースコード共有サービス「GitHub」は、ソースコードリポジトリ（保管庫）だけではなく、開発に役立つさまざまなツールや機能を提供している。同サービスを運営するGitHub社（2018年にMicrosoftが買収）のCEOであるトーマス・ドームケ氏は、優先して強化すべき領域としてセキュリティを挙げる。その理由は何か。

なぜ今OSSのセキュリティ強化なのか

併せて読みたいお薦め記事

連載：GitHubのCEOが語る未来

• 第1回：“AIの在り方”を語るGitHubのCEOが「顧客との対面」にこだわる理由
• 第2回：GitHubのCEOが“東京やシンガポールの開発者”と面会した目的は？
• 第3回：オープンソースが「世界の共通言語」になれる“他にはない”理由
• 第4回：“ChatGPTみたいなAIツール”で開発はがらっと変わる？ あるCEOが想像する未来
• 第5回：「AIで開発者が不要になる」とは言い切れない理由と、開発者がする仕事とは？
• 第6回：「GitHub」が“単なるリポジトリ”を超えて開発者に使われるのはなぜ？
• 第7回：GitHubのCEOが夢見る「クラウドネイティブ開発」は何がすごいのか

GitHubの動向

• GitHubの「デジタル証明書」“流出問題”を放置してはいけない理由
• GitHubが「master」ブランチを「main」ブランチに変更した深い理由

――　GitHubで解消したい課題や、さらに強化したい領域はありますか。

ドームケ氏　当社が他社と連携して解決すべき最大の課題は、アプリケーションサプライチェーン（アプリケーションの開発、配備、公開、運用といった一連のプロセス）のセキュリティ対策だ。企業がオープンソースツールを利用して自社システムを構築するようになったことで、「Apache Log4j」（注）のような、オープンソースツールの脆弱（ぜいじゃく）性が世の中に大きな影響を与えることが明らかになった。

※注：Apache Log4jは、プログラミング言語・実行環境「Java」のログ出力ライブラリ（部品群）。

　Apache Log4jの脆弱性は、企業のCISO（最高情報セキュリティ責任者）にとって目からうろこが落ちる機会になったように思う。「自社のデータセンターに全てを置けば安全だ」と勘違いしている人があまりにも多い。自社が所有するソースコードの大部分が自社製ではなく、アプリケーションセキュリティを理解していない可能性のある誰かが提供したものだということに、企業は気付いていない。

　われわれは、オープンソースソフトウェア（OSS）のセキュリティ強化を推進する業界団体OpenSSF（Open Source Security Foundation）のメンバーだ。パートナー企業と緊密に連携して、「開発者ファースト」でアプリケーションサプライチェーンを保護する方法を模索している。複数のオープンソースプロジェクトと協力して、アプリケーションの部品（コンポーネント）を保護するためのツールやアイデアを提供することで、世界中の人々の安全を確保することが狙いだ。

　顧客企業に対しては、コンポーネントを最新の状態に保つことの重要性と、サイバー攻撃の標的になり得るリポジトリにパスワードやトークン、暗号鍵を保管しないことへの注意を呼び掛けている。攻撃者は概してずる賢く、手に入れた認証情報を一度に全部使わない。認証が切れるまで1つの認証情報を使い、切れたら別の認証情報を使用する。

　企業にとって、何が盗まれたのかを特定することは、干し草の中から針を探すようなものであり、非常に困難だ。これに対してGitHubは、「シークレットスキャン」機能を提供している。シークレットスキャンは、GitHubのリポジトリ内にある全認証情報を削除したり、認証情報をリポジトリに表示しないようにしたりすることが可能だ。ソースコード診断、つまりアプリケーションの構成分析をして、アプリケーションの中に潜む脆弱性を見つけることもできる。調査結果は他の企業と共有可能だ。

――　OSSのセキュリティ強化は、2022年初めにRed HatのCEOであるマット・ヒックス氏にも伺ったトピックです。ヒックス氏のチームはコンテナオーケストレーションツール「Kubernetes」のディストリビューション（配布用パッケージ）「Red Hat OpenShift」に、SBOM（Software Bill Of Materials：ソフトウェア部品表）機能を組み込むことを検討しているようです。

ドームケ氏　Red Hatも当社もOpenSSF（Open Source Security Foundation）の同じワーキンググループに所属している。米国政府と取引しているソフトウェアベンダーはSBOMを提供しなければならないため、米国ではSBOMは大きなトピックだ。

　開発サイクルの最後にSBOMを作成するのではなく、オープンソースプロジェクトごとにSBOMを作成すべきだと言える。われわれは、CI/CD（継続的インテグレーション／継続的デリバリー）ツール「GitHub Actions」にSBOM生成機能を搭載したいと考えている。OSSを使用する企業が、生成したSBOMを活用して、全てのアプリケーションの部品（コンポーネント）に関するSBOMを作成できる機能だ。

---

　第9回は、GitHub社がMicrosoftから受けた影響を紹介する。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。