企業が分かっていない「OSSのセキュリティ問題」とは GitHubが指摘GitHubのCEOが語る未来【第8回】

GitHub社のCEOは、解消すべき最大の課題としてセキュリティ強化を挙げる。背景には、世間を騒がせたオープンソースソフトウェアの脆弱性にまつわる問題があるという。それは何か。

2023年05月09日 05時00分 公開
[Aaron TanTechTarget]

 ソースコード共有サービス「GitHub」は、ソースコードリポジトリ(保管庫)だけではなく、開発に役立つさまざまなツールや機能を提供している。同サービスを運営するGitHub社(2018年にMicrosoftが買収)のCEOであるトーマス・ドームケ氏は、優先して強化すべき領域としてセキュリティを挙げる。その理由は何か。

なぜ今OSSのセキュリティ強化なのか

―― GitHubで解消したい課題や、さらに強化したい領域はありますか。

ドームケ氏 当社が他社と連携して解決すべき最大の課題は、アプリケーションサプライチェーン(アプリケーションの開発、配備、公開、運用といった一連のプロセス)のセキュリティ対策だ。企業がオープンソースツールを利用して自社システムを構築するようになったことで、「Apache Log4j」(注)のような、オープンソースツールの脆弱(ぜいじゃく)性が世の中に大きな影響を与えることが明らかになった。

※注:Apache Log4jは、プログラミング言語・実行環境「Java」のログ出力ライブラリ(部品群)。

 Apache Log4jの脆弱性は、企業のCISO(最高情報セキュリティ責任者)にとって目からうろこが落ちる機会になったように思う。「自社のデータセンターに全てを置けば安全だ」と勘違いしている人があまりにも多い。自社が所有するソースコードの大部分が自社製ではなく、アプリケーションセキュリティを理解していない可能性のある誰かが提供したものだということに、企業は気付いていない。

 われわれは、オープンソースソフトウェア(OSS)のセキュリティ強化を推進する業界団体OpenSSF(Open Source Security Foundation)のメンバーだ。パートナー企業と緊密に連携して、「開発者ファースト」でアプリケーションサプライチェーンを保護する方法を模索している。複数のオープンソースプロジェクトと協力して、アプリケーションの部品(コンポーネント)を保護するためのツールやアイデアを提供することで、世界中の人々の安全を確保することが狙いだ。

 顧客企業に対しては、コンポーネントを最新の状態に保つことの重要性と、サイバー攻撃の標的になり得るリポジトリにパスワードやトークン、暗号鍵を保管しないことへの注意を呼び掛けている。攻撃者は概してずる賢く、手に入れた認証情報を一度に全部使わない。認証が切れるまで1つの認証情報を使い、切れたら別の認証情報を使用する。

 企業にとって、何が盗まれたのかを特定することは、干し草の中から針を探すようなものであり、非常に困難だ。これに対してGitHubは、「シークレットスキャン」機能を提供している。シークレットスキャンは、GitHubのリポジトリ内にある全認証情報を削除したり、認証情報をリポジトリに表示しないようにしたりすることが可能だ。ソースコード診断、つまりアプリケーションの構成分析をして、アプリケーションの中に潜む脆弱性を見つけることもできる。調査結果は他の企業と共有可能だ。

―― OSSのセキュリティ強化は、2022年初めにRed HatのCEOであるマット・ヒックス氏にも伺ったトピックです。ヒックス氏のチームはコンテナオーケストレーションツール「Kubernetes」のディストリビューション(配布用パッケージ)「Red Hat OpenShift」に、SBOM(Software Bill Of Materials:ソフトウェア部品表)機能を組み込むことを検討しているようです。

ドームケ氏 Red Hatも当社もOpenSSF(Open Source Security Foundation)の同じワーキンググループに所属している。米国政府と取引しているソフトウェアベンダーはSBOMを提供しなければならないため、米国ではSBOMは大きなトピックだ。

 開発サイクルの最後にSBOMを作成するのではなく、オープンソースプロジェクトごとにSBOMを作成すべきだと言える。われわれは、CI/CD(継続的インテグレーション/継続的デリバリー)ツール「GitHub Actions」にSBOM生成機能を搭載したいと考えている。OSSを使用する企業が、生成したSBOMを活用して、全てのアプリケーションの部品(コンポーネント)に関するSBOMを作成できる機能だ。


 第9回は、GitHub社がMicrosoftから受けた影響を紹介する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news105.jpg

Web担当者を悩ませる「フォーム営業」をブロック 「ヘルプドッグフォーム」に新機能
ノーコードのフォーム作成管理システム「ヘルプドッグフォーム」が「フォーム営業ブロッ...

news070.jpg

Xの「いいね!」非公開化 イーロン・マスク氏の真の狙いは?
Xが「いいね!」を非公開化するアップデートを実施した。狙いの一つは、Xユーザーが他人...

news025.png

「ECプラットフォーム」売れ筋TOP10(2024年6月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。