OSSセキュリティ強化の重要性とOpenSSFの概要

Transcript

1. Copyright Cybertrust Japan Co., Ltd. All rights reserved. OSS セキュリティ強化の重要性と

   OpenSSF の概要
 ～ Security Meetup Tokyo ～
 2023/02/28
 サイバートラスト株式会社
 IoT技術本部
 池田 宗広


2. Copyright Cybertrust Japan Co., Ltd. All rights reserved. ▪ OSS

   セキュリティ関連動向 ▪ OSS Security Mobilization Plan ▪ OpenSSF ～Open Source Security Foundation～ 目次


3. Copyright Cybertrust Japan Co., Ltd. All rights reserved. OSS セキュリティ関連動向


4. Copyright Cybertrust Japan Co., Ltd. All rights reserved. 重要なイベントと OSS

   コミュニティの動き
 2021/05/12 米国 大統領令「国家のサイバーセキュリティ強化について」 2022/01/13 OSS Security Summit @ Whitehouse 2022/05/12 OSS Security Summit II @ Whitehouse PJ Alpha-Omega OSS Mobilization Plan 2022/08/23 OSS Security Summit Japan 2020 2021 2022 log4shell SolarWinds 広範に利用されている Java 用ログライブラリ log4j に発見された深刻な脆弱性。 これを突いた攻撃が多数発生。 SolarWInds 社のネットワーク監視ツール Orion にマルウェア SUNBURST が混入。 仕掛けられたバックドアから、米国政府機関を含む約 100の組織が侵入を許したと見られる。 2022/05/11 日本国 経済安全保障推進法 成立 2023 CII/OSSC

5. Copyright Cybertrust Japan Co., Ltd. All rights reserved. “Executive Order

   on Improving the Nation’s Cybersecurity” ▪ SolarWinds が受けたサイバー攻撃事件をきっかけに発布 ▪ 米国政府機関全体に対し、サイバーセキュリティの強化を強く指示 米国大統領令： 国家のサイバーセキュリティ強化について
 Section 1 方針 Section 2 脅威情報の共有を阻害する要因を排除せよ Section 3 サイバーセキュリティに関して連邦政府を最新化せよ Section 4 ソフトウェアのサプライチェーンセキュリティを実現せよ Section 5 サイバーセキュリティのための審査委員会を設立せよ Section 6 脆弱性とインシデントへの対応に関する連邦政府のプレイブックを標準化せよ Section 7 連邦政府のネットワークに生じた脆弱性とインシデントの検知能力を強化せよ Section 8 連邦政府の調査および修復能力を強化せよ Section 9 国家安全保証システムについて Section 10 語句定義

6. Copyright Cybertrust Japan Co., Ltd. All rights reserved. ▪ 主要な企業、米国政府機関幹部がホワイトハウスに集結し開催

   • 主催： The Linux Foundation, Open Source Security Foundation (OpenSSF) • 参加企業： Amazon, Apple, Meta, Google, IBM, Microsoft, RedHat 等全37社 • 政府機関： DoD(国防総省), DoC(商務省), DHS(国土安全保障省), NIST(国立標準 技術研究所), NSF(国立科学財団), etc. ▪ OSS およびそのサプライチェーンセキュリティの強化向上、OSS コミュニ ティの効果的なサポートについて議論を行い、アクションプランを策定 • 第一回 (2022/01/13) ▪ Alpha-Omega Project を始動 • 第二回 (2022/05/12) ▪ OSS Security Mobilization Plan (OSSセキュリティのための動員プラン）を宣言・始動 OSS Security Summit I, II


7. Copyright Cybertrust Japan Co., Ltd. All rights reserved. ▪ 国内の主要な企業・団体からサイバーセキュリティの専門家が集結し開

   催 • 主催： The Linux Foundation, Open Source Security Foundation (OpenSSF) • 後援： 経済産業省 • 参加：日立製作所、富士通、NEC、NTTデータ、トヨタ自動車等27組織 ▪ うち OpenSSF メンバ： サイバートラスト、サイボウズ、ルネサスエレクトロニクス ▪ OSS のセキュリティに関する問題の共有と、強化改善を進める方法を議 論 • サプライチェーンセキュリティについての関心が高く、SBOM の活用について活発 な議論 • 製造系・IoT領域から、長期サポートの必要性・重要性が提起 • 「Upstream first」 • 日本ではコミュニティとビジネスが乖離しているという指摘あり これらを繋ぐ架け橋として OSPO (Open Source Program Office) が重要になる OSS Security Summit Japan


8. Copyright Cybertrust Japan Co., Ltd. All rights reserved. OSS Security

   Mobilization Plan
 ～ OSS セキュリティのための動員プラン ～


9. Copyright Cybertrust Japan Co., Ltd. All rights reserved. ３つの目標（3 Goals）と10

   の主要な問題（10 Streams）を定義・特定 • 日本語版：https://www.linuxfoundation.jp/publications/2022/08/oss_security_mobilization_plan/ • OSS Security Summit II @ Whitehouse で提案・宣言 OSS Security Mobilization Plan
 3 Goals 1. セキュリティ教育 2. リスク評価 3. デジタル署名 4. メモリー安全性 5. インシデント対応 6. スキャニングの改善 7. コード監査 8. データ共有 10 Streams 9. ソフトウェア部品表 （SBOM）の普及 10. サプライチェーンの改善 1. セキュアな OSS の作成 2. 脆弱性の検出と修復の強化 3. エコシステムのパッチ応答 時間を短縮

10. Copyright Cybertrust Japan Co., Ltd. All rights reserved. 1. セキュリティ教育

    安全なソフトウェア開発の基本に関する教育と認定をすべての人に提供する。 ▪ Secure Software Development Fundamentals Courses ▪ OpenSSF Fundamentals Courses SIG 2. リスク評価 OSSコンポーネントのトップ1万件（またはそれ以上）について、一般に公開され、ベン ダーニュートラルで、客観的指標に基づくリスク評価ダッシュボードを開設・確立する。 ▪ LFX ▪ OpenSSF Best Practices badge 3. デジタル署名 ソフトウェアリリースでデジタル署名の採用を加速させる。 ▪ sigstore 10 Streams（活動の流れ）


11. Copyright Cybertrust Japan Co., Ltd. All rights reserved. 4. メモリー安全性

    メモリー非安全な言語を置き換えることで、多くの脆弱性の根本的な原因 を排除する。 ▪ Linux Kernel の Rust 対応 5. インシデント対応 OpenSSF Open Source Security Incident Response Team を立ち上げる。脆 弱性対応時の重要な時に、オープンソースプロジェクトの支援に加わるこ とができるセキュリティ専門家のチーム。 6. スキャニングの改善 高度なセキュリティツールと専門家のガイダンスを通して、メンテナーと専 門家による新しい脆弱性の発見を加速させる。 ▪ Alpha-Omega PJ (Omega) 10 Streams（活動の流れ）


12. Copyright Cybertrust Japan Co., Ltd. All rights reserved. 7. コード監査

    年に1回、最大200個の最も重要なOSSコンポーネントのサードパーティー コードレビュー（と必要な修正作業）を実施する。 ▪ Alpha-Omega PJ (Alpha) 8. データ共有 業界全体のデータ共有を調整して、最も重要なOSSコンポーネントを特定 するための調査を改善する。 9. ソフトウェア部品表（SBOM）の普及 SBOMツールとトレーニングを改善して、導入を促進する。 ▪ SPDX ▪ SBOM Everywhere SIG 10 Streams（活動の流れ）


13. Copyright Cybertrust Japan Co., Ltd. All rights reserved. 10. サプライチェーンの改善

    より優れたサプライチェーンセキュリティツールとベストプラクティスで、最 も重要な10のオープンソースソフトウェアビルドシステム、パッケージマ ネージャー、ディストリビューションシステムを強化する。 ▪ Supply-chain Levels for Software Artifacts (SLSA) 10 Streams（活動の流れ）


14. Copyright Cybertrust Japan Co., Ltd. All rights reserved. OpenSSF
 –

    Open Source Security Foundation –


15. Copyright Cybertrust Japan Co., Ltd. All rights reserved. ▪ https://openssf.org/

    ▪ OSS のセキュリティ強化・向上を 目的とした、The Linux Foundation 傘下の プロジェクトとして 2020年8月に設立 ▪ 業界横断的なコミュニティとして目的の達成を目指す ▪ 参加企業・団体 • プレミアメンバー (23) ▪ AWS, Apple, Cisco, Citi, GitHub, Google, Intel, IBM, Meta, Mcrosoft, Red Hat, VMWare, etc. • 一般メンバー (64) ▪ Akamai, Blooomberg, Comcast, f5, GitLab, indeed, SUSE, Tencent, Windriver, etc. • アソシエイトメンバー (17) ▪ CMU, Eclipse Foundation, 中国科学院軟件研究所, MITRE, Python Foundation, TODO grp, etc. ▪ 日本からのメンバー：３社 • サイバートラスト、サイボウズ、ルネサスエレクトロニクス OpenSSF とは


16. Copyright Cybertrust Japan Co., Ltd. All rights reserved. OpenSSF は、ツール、サービス、トレーニング、インフラとリソースの提供によ

    り、あらかじめセキュリティが考慮された高品質なソフトウェアを OSS のエコ システムへの参加者が共有し利用できる未来を実現する • 開発者がセキュアな開発手法を簡単に学べ、問題への対応・対処はツールによっ て自動的に通知される • 開発者や規制当局が、ツールと自動化によって強制的に適用されるポリシーを容 易に作成し配布できる • 開発者や研究者がセキュリティ問題を特定すると、それらへの対処が可能な人々 にとって必要な情報がサプライチェーンを遡って素早く提供される • コミュニティメンバーが製品・成果物の瑕疵、脆弱性への対応、品質やサポートに 関する情報をエコシステムの全てのユーザーに対して素早く提供することで、ユー ザーはソフトウェアの素早いアップデートを行うか、問題への対応を実装すること ができる OpenSSF Technical Vision
 https://openssf.org/about/

17. Copyright Cybertrust Japan Co., Ltd. All rights reserved. OpenSSF Values


    Public Good ▪ OSSセキュリティは共有財産であり、公 共の利益のため我々が取り組むべき対 象と信じる Openness and Transparency ▪ 全てのステークホルダの参加を歓迎し、 活動は公開する Mainteners First ▪ メンテナと開発者を尊重する Diversity, Inclusion, and Representation ▪ 広範な背景・地域・視点からの参加を歓 迎する Agility and Delivery ▪ 実践と経験から学び、OSSをセキュアに するための意味のあるアウトプットを行 う Credit Where Credit is Due ▪ 貢献が公正に認められる文化にコミット する Neutrality ▪ いかなるエコシステム、ベンダー、プラッ トフォームにも偏らない Empathy ▪ 互いの挑戦、視点、環境を尊重し、異な る意見に傾聴する https://openssf.org/about/

18. Copyright Cybertrust Japan Co., Ltd. All rights reserved. OpenSSF の構成


    Governing Board (GB) Technical Advisory Board (TAC) Marketing Public Policy Budget & Finance Planning Alpha-Omega Good Toolchain Infrastructure (GTI) sigstore Security Tooling WG Supply Chain Integrity WG Vulnerability Disclosures WG Securing Critical Projects WG Identifying Security Threats WG Securing Software Repositories WG End Users WG Best Practices WG Committees Associated Projects Top-Level Projects Workking Groups Ref : OpenSSF Day Japan 2022 “What is the OpenSSF?” by Brian Behlendorf

19. Copyright Cybertrust Japan Co., Ltd. All rights reserved. End Users

    WG ▪ 「作る」より「使う」立場からの視点・意見を集 約する • (coming soon) Best Practice WG ▪ セキュリティに関するベスト・プラクティスの特 定、周知、教育を行う ▪ Stream 1, 2 • OpenSSF Best Practices badge • Scorecards • Common Requirements Enumeration(CRE) • Secure Software Development • Security Knowledge Framework (SKF) • Fundamentals courses SIG • Great MFA distribution SIG • Education SIG Working Group と関連PJ
 Security Tooling WG ▪ 誰もが利用できるセキュリティ関連ツールを 開発する ▪ Stream 9 • ossf-cve-benchmark • Web Application Definition spec • fuzz-introspector • SBOM Everywhere SIG Supply Chain Integrity WG ▪ OSS コードの確実な出自特定を実現する ▪ Stream 3, 10 • Supply-chain Levels for Software Artifacts (SLSA)

20. Copyright Cybertrust Japan Co., Ltd. All rights reserved. Vulnerability Disclosures

    WG ▪ 効果的な脆弱性の通知と対策を検討・実行 する ▪ Stream 6, 7 • Guide to coordinated vulnerability disclosure for OSS projects • Vulnerability Disclosures Whitepaper • osv-schema Securing Critical Projects WG ▪ 重要な OSS PJ を特定する ▪ Stream 2, 7, 8 • criticality_score • Harvard research • package-feeds / package-analysis • allstar Working Group と関連PJ
 Identifying Security Threats WG ▪ OSS プロジェクトのセキュア度について計測 する ▪ Stream 2, 7 • security-reviews • Project-Security-Metrics (dashboard) • SECURITY-IMPACTS.yml spec Securing Software Repositories WG ▪ OSS レポジトリのセキュリティを向上するた めのツールを提供する • (coming soon)

21. Copyright Cybertrust Japan Co., Ltd. All rights reserved. 関連PJ ▪

    Project Alpha-Omega • Stream 6, 7, 8(Alpha); 2(Omega) ▪ GNU Toolchain Infrastructure (GTI) support ▪ Project sigstore Working Group と関連PJ


22. Copyright Cybertrust Japan Co., Ltd. All rights reserved. OSS ライフサイクルと

    OpenSSF 各活動のマッピング
 ※ OpenSSF Town Hall (Aug 15, 2022) より転載

23. Copyright Cybertrust Japan Co., Ltd. All rights reserved. 様々な方法で情報を共有しています。 まずは情報収集と議論への参加を通じて、参画すべき

    WG/PJ/SIG を決める のがよいと思います。 OpenSSF への参加
 ▪ https://github.com/ossf • Technical Working Group その他の Github レポジトリ一覧 ▪ https://lists.openssf.org/g/main • Mailing list • main は「親」のダミー ML なので、実 際の ML は Subgroups を参照 ▪ https://bit.ly/ossf-calendar • ミーティングカレンダー ▪ https://slack.openssf.org • Slack ▪ https://www.youtube.com/c/OpenSSF • Youtube チャンネル ▪ https://www.linkedin.com/company/openssf/ • LinkedIn ▪ https://twitter.com/theopenssf • Twitter

24. Copyright Cybertrust Japan Co., Ltd. All rights reserved. OSS および

    OSS サプライチェーンのセキュリティ強化は、ソフトウェアの使用 者・利用者全員にとって喫緊の課題です。 OSS セキュリティ強化の中心となる OpenSSF で、より良い世界を実現しましょ う！ OpenSSF のメンバーになるには以下を参照してください。 ▪ https://openssf.org/join/ ▪ [email protected] まとめ


25. Copyright Cybertrust Japan Co., Ltd. All rights reserved. 信頼とともに 留意事項

    本資料に記載されている会社名、製品名、サービス名は、当社または各社、各団体の商標もしくは登録商標です。 その他本資料に記載されているイラスト・ロゴ・写真・動画・ソフトウェア等は、当社または第三者が有する知的財産権やその他の権利により守られております。 お客様は、当社が著作権を有するコンテンツについて、特に定めた場合を除き、複製、改変、頒布などをすることはできません。 本資料に記載されている情報は予告なしに変更されることがあります。また、時間の経過などにより記載内容が不正確となる場合がありますが、当社は、当該情報を更新す る義務を負うものではありません。