Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SOSS Community Day Japan イベントレポート

SOSS Community Day Japan イベントレポート

ルネサスエレクトロニクス株式会社 余保 束氏
2024年12月12日開催 OSSセキュリティMeetup 講演資料

Linux Foundation Japan

December 16, 2024
Tweet

More Decks by Linux Foundation Japan

Other Decks in Technology

Transcript

  1. SOSS Community Day Japan Tokyo, Japan October 30 2024 イベントレポート

    Copyright © 2024 The Linux Foundation®. All rights reserved. The Linux Foundation has registered trademarks and uses trademarks. ルネサスエレクトロニクス株式会社 余保 束
  2. SOSS Community Day Japan 2024概要  Open Source Summit Japan

    2024 (OSSJ2024)@虎ノ門ヒルズのco-location イ ベントとしてOSSJ(10/28-29)の翌日10/30に 同会場で開催  OpenSSF主催Security Open Source Softwareイベント。(以前はOpenSSF Dayと 呼称)  キーノート含め15セッション(1セッション約20分) セッション一覧と資料はイベントページに掲載 動画はYoutubeのOpenSSFチャンネルで視聴可能 3
  3. Summary&所感  参加者数は目算で50人前後。  SBOM*、AI、PQC**(耐量子コンピュータ 暗号)がホットトピック  複数のセッションでSBOMを活用した脆弱性 管理について発表あり。経産省のキーノートで はSBOMの取組みのみ紹介。重要視している

    事が窺えた。  OSSセキュリティは最重要課題である事は自 明で、課題解決に向け企業やコミュニティが投 資する事が必要とのメッセージ。 4 *SBOM : Software Bill of Material **PQC : Post-Quantum Cryptography
  4. セッションの紹介1 • Keynote: Japan’s Industrial Sector SBOM Policy (Mitsugu Masaki

    :METI Cybersecurity Policy Planning Office) ◦ 経産省は日本産業におけるサイバーセキュリティ向上の為に様々な取組みを行っているが、その中から今 回はSBOMの取組みについて紹介 ◦ 複雑なソフトウェアサプライチェーンにおける脆弱性管理の課題をSBOMで改善できるか PoC*を作り 検証し、脆弱性管理、ライセンス管理に有効であることを確認 ◦ PoCの結果を基に2023年7月に「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引 Ver.1.0」を発行 ◦ 2024年8月に脆弱性管理プロセスなどを追加した「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引 Ver.2.0」を発行  本セッションの資料はこちら、本セッションの動画リンクはこちら 5 *PoC : Proof of Concept
  5. セッションの紹介2 • Forging the Future of a More Secure AI

    (Jeffrey Borek & Moriyoshi Ohara :IBM ) ◦ OSSは自由に使えるがサポート(メンテナンス)されている事が必須 ◦ 2021年の米大統領令:14028でOSSセキュリティの改善が求めらており、OpenSSFコミュニティは大 事な役目を担っている ◦ CoSAI (Coalition for Secure AI) はAIにおけるセキュリティの改善の為に多くの企業やコミュニテ ィが参画するコミュニティ ◦ CoSAIはOpenSSF等のコミュニティとコラボレーションしてAIセキュリティの改善を推進  本セッションの資料はこちら、本セッションの動画リンクはこちら 6
  6. セッションの紹介3 • Is This Thing on? Blue Team Tips for

    Scorecard (Raghav Kaul :Google) ◦ OpenSSF Scorecardはサプライチェーンに影響を及ぼす18項目について10段階で自動的に評価 ◦ 想定している利用者はOSSのメンテナやOSS使用者 ◦ 今回はOSSメンテナにおける利用方法について説明  本セッションの資料はこちら、本セッションの動画リンクはこちら • Migrating Operating System Toward Post-Quantum Cryptography (Daiki Ueno :Red Hat) ◦ オペレーティングシステムのPQC*(耐量子コンピュータ暗号)への移行が必要 ◦ 量子コンピュータは現実のものとなりつつあり、現在の暗号は無効化 ◦ 今年8月にNIST**が3つのPQCを承認  本セッションの資料はこちら、本セッションの動画リンクはこちら 7 *PQC : Post-Quantum Cryptography **NIST :National Institute of Standards and Technology (米国立標準技術研究所)
  7. セッションの紹介4 • Future Use of SCAP and SBOM for Software

    Supply Chain (Masaki Ishiguro :Mitsubishi Research Institute, Yumi Tomita & Atsuya Misaki :Cybertrust Japan) ◦ サプライチェーンセキュリティへのSCAPとSBOMの比較 ◦ SCAP(The Security Content Automation Protocol)は従来からある脆弱性評価ツールの 1つ、一方で最近話題のSBOMは脆弱性管理とライセンスコンプライアンス管理面で期待 ◦ SBOMと比較してSCAPが使われなくなった理由と今後の活用について ◦ 日本政府のサプライチェーンセキュリティの取組みとSBOMの紹介(経産省のガイドライン等) ◦ SCAPはソフトウェア依存関係に起因する脆弱性の発見が困難、SCAPのベンダーが減少 ◦ サプライチェーンの透明性が確保できるSBOMが台頭 ◦ 脆弱性評価はSBOM、セキュリティコンプライアンス評価はSCAP  本セッションの資料はこちら、本セッションの動画リンクはこちら 8
  8. セッションの紹介5 • Linux Distributor’s Role for Supply Chain Security (Muuhh

    IKEDA & Takanori Suzuki :Cybertrust Japan) ◦ サプライチェーンセキュリティとは、、、パッケージにどんなソフトウェアが入っているか?プロセスは?理想的 なゴールは不正なソフトウェアに対して自動的にパッチが適用される等 ◦ 単独のソフトウェアにおいて開発~テスト~実行まで行えれば理想的な対応は実現可能、しかし一般的 には複数のソフトウェアを結合しており、その検証は数千~一万に及び実現可能とは言えない ◦ Linuxディストリビューションのポイントで作業を統合する事で解決できる(提案) ・SBOM信頼性の確立、SBOM品質の改善、VEX*(脆弱性情報)の実装、SLSA**適用など ◦ SBOMエコシステムにおけるLinuxディストリビュータの役割を継続して探究  本セッションの資料はこちら、本セッションの動画リンクはこちら 9 *VEX : Vulnerability Exploitability eXchange **SLSA : Supply chain Levels for Software Artifacts
  9. セッションの紹介6 • Rapid Handling of Vulnerabilities in the Supply Chain

    with SBOM and VEX (Akihiko Takahashi :Fujitsu) ◦ 富士通がOpenSSFに参加 ◦ SBOMとVEXを使った脆弱性管理方法 ◦ サプライヤーがSBOMに加えVEXを提供する事でユーザが調査する脆弱性の件数を削減 ◦ YoctoでSBOMとVEXを作成&更新するベストプラクティスを紹介 ◦ 脆弱性が発見され修正するまでをステップ毎に解説 VEXには脆弱性の状況が調査中なのか修正済か記載  本セッションの資料はこちら、本セッションの動画リンクはこちら 10
  10. セッションの紹介7 • Navigating the Quantum Readiness Journey -Open-Source Cryptography, PKI

    and Signing Tools- (Tony Chen :Keyfactor) ◦ 今年8月にNISTが3つのPQCを承認し規格化 FIPS203:ML-KEM* (Kyber) 、FIPS204:ML-DSA** (Dilithium)、FIPS205:SLH-DSA*** (SPHINCS+) ◦ 量子コンピュータによりレガシー公開鍵は脅威に晒されデジタル署名やブロックチェーンは100%脆弱 ◦ 今すぐに準備が必要!攻撃者は、いま情報を集め、後(量子コンピュータが登場してから)で解析 ◦ 影響範囲は広い!認証プロトコル、ハードウェアセキュリティモジュール、ネットワーク製品、暗号ライブラリ ◦ 移行プラン:完全に移行する以外にランニングチェンジ、ハイブリッド(新旧混在)など  本セッションの資料はこちら、本セッションの動画リンクはこちら 11 *ML-KEM : Module-Lattice-Based Key-Encapsulation Mechanism Standard **ML-DSA : Module-Lattice-Based Digital Signature Algorithm Standard ***SLH-DSA : Stateless Hash-Based Digital Signature Algorithm Standard
  11. Ways to Participate Join a Working Group/Project Come to a

    Meeting (see Public Calendar) Collaborate on Slack Contribute on GitHub Become an Organizational Member Keep up to date by subscribing to the OpenSSF Mailing List 13
  12. Engage with us on social media X @openssf LinkedIn OpenSSF

    Mastodon social.lfx.dev/@openssf YouTube OpenSSF Facebook OpenSSF 14
  13. Legal Notice Copyright © Open Source Security Foundation®, The Linux

    Foundation®, & their contributors. The Linux Foundation has registered trademarks and uses trademarks. All other trademarks are those of their respective owners. Per the OpenSSF Charter, this presentation is released under the Creative Commons Attribution 4.0 International License (CC-BY-4.0), available at <https://creativecommons.org/licenses/by/4.0/>. You are free to: • Share — copy and redistribute the material in any medium or format for any purpose, even commercially. • Adapt — remix, transform, and build upon the material for any purpose, even commercially. The licensor cannot revoke these freedoms as long as you follow the license terms: • Attribution — You must give appropriate credit , provide a link to the license, and indicate if changes were made . You may do so in any reasonable manner, but not in any way that suggests the licensor endorses you or your use. • No additional restrictions — You may not apply legal terms or technological measures that legally restrict others from doing anything the license permits. 15