|
サイバー攻撃がますます激化する中、企業はオープンソースのサプライチェーンのセキュリティをどのように強化できるでしょうか? オープンソースは、コミュニティの成長を促進するだけでなく、イノベーションを推進する素晴らしいリソースであり、現代のアプリケーションの構築に不可欠な要素となっています。しかし、オープンソースソフトウェアには、独自のセキュリティ上の脅威と課題も存在します。TideliftのCEOであるドナルド・フィッシャーが、オープンソースサプライチェーンのセキュリティとレジリエンスを強化する理由と方法について解説し、分析します。 調査会社Forresterが発表したデータによると、現在、Fortune 500企業の50%以上が開発プロジェクトでオープンソースソフトウェアを使用しています。オープンソースの価値は、ほとんどの企業に十分に理解されています。オープンソースはアプリケーション開発を加速させ、企業がフリーコードに基づいてアプリケーションをより迅速に作成・改良することを可能にします。 しかし、オープンソースは無料で、当初は取得コストがかからないものの、セキュリティと適切なメンテナンスを維持するためのコストは、時間の経過とともに莫大なものになることがよくあります。さらに重要なのは、オープンソースのサプライチェーンを効果的に管理しないと、深刻な結果を招く可能性があることです。 たとえば、米国政府機関は最近、Log4Shell の脆弱性を修正するために 33,000 時間を費やし、その機関だけで少なくとも 400 万ドルのエンジニアリング時間を費やしたと報告しました。 Equifax は、Apache Struts ソフトウェア パッケージの脆弱なバージョンを更新しなかったために何百万もの消費者データ記録が公開されたため、連邦取引委員会、消費者金融保護局、全 50 州からの訴訟を和解するために 7 億ドルを支払った。 今日のビジネスリーダーがこのような例を見ると、健全なオープンソースのサプライチェーン管理戦略を持つことの重要性が明らかになるのも不思議ではありません。 IDC の DevOps および DevSecOps ソリューション担当副社長の Jim Mercer 氏は、企業がオープンソースのメリットを最大限に活用しながらセキュリティを維持できるように、オープンソースを管理するための計画を積極的に策定することを推奨しています。 彼は次のように述べています。「脅威の状況は絶えず変化しており、企業はOSSサプライチェーンの健全性とセキュリティを管理するための計画が必要です。この戦略は、技術部門とビジネス部門のステークホルダーの間で共有され、支持を得る必要があります。また、OSSの利用に関する企業ガイドライン、OSSコミュニティとの連携、そしてセキュリティデューデリジェンスの基準も含める必要があります。」 効果的なオープンソース サプライ チェーン管理計画では、内部のセキュリティとメンテナンスの課題と、外部のソフトウェア サプライ チェーンの回復力の課題の両方に対処する必要があります。 社内のオープンソースのセキュリティとメンテナンスの課題への対処多くの企業は、自社が利用するオープンソースコンポーネントを安全かつ最新の状態に保つことの難しさを認識しています。これらの問題に対処するには、企業は以下の質問に包括的に回答し、その回答を企業全体に広く周知するための適切な計画を立てる必要があります。これらの質問の多くは、個々の開発者が単独で回答するのは非常に困難です。
幸いなことに、こうした問題を解決するための業界のベストプラクティスが生まれています。企業は、組織全体の開発者が使用し、一元管理するために、レビュー済み・承認済みのコンポーネントカタログを作成します。時間の経過とともに、承認されるコンポーネントが増えるにつれて、このカタログのサイズは拡大し続け、開発者は自ら調査することなく、より多くのコンポーネントにアクセスできるようになります。これにより、開発者の生産性が向上し、ビジネスリスクが軽減されます。 サプライチェーンのレジリエンスの課題への取り組みオープンソースを管理する際の内部セキュリティとメンテナンスの課題は十分に文書化されていますが、オープンソースに関してそれほど目立たないけれどもより有害な問題は、アップストリームのオープンソース コンポーネント自体の健全性とセキュリティに対する脅威が増大していることです。 Log4Shell は代表的な例であり、米国サイバーセキュリティ審査委員会 (CSRB) の報告書でも強調されている点です。同報告書では、オープンソース コミュニティはまだコードが企業の標準や政府のガイドラインに準拠していることを保証できるほど強力ではないと指摘されています。 しかし、オープンソース コンポーネントのほとんどをボランティアが保守している場合、企業は重要な質問をする必要があります。オープンソース パッケージがこれらの標準を満たしているかどうかを確認する責任は誰が負うのでしょうか。 明らかな答えは、作業を行うのはメンテナーであるということですが、プロセスとツールのサポートなしに「誠意を持って」追加の責任を引き受けることを期待することは、想定されるべきことではなく、どのようなビジネスにとっても危険です。 セキュリティとメンテナンスの課題、およびサプライ チェーンの回復力に積極的に取り組みます。あらゆる企業のオープンソース・ガバナンス・プログラムにおいて、積極的に活用しているオープンソース・プロジェクトのメンテナーと積極的に連携し、直接的な金銭的インセンティブを提供することは重要な要素です。オープンソース・メンテナーは、自らのプロジェクトを保護するための知識と権利を有しています。彼らの活動から利益を得ている企業が公正な報酬を受け取れるようにすることは、メンテナーにとって最大の利益となります。 同時に、アプリケーション開発リーダーは、オープンソース ソフトウェア サプライ チェーンのセキュリティに関する新たな業界標準を理解し、これらの標準に照らしてオープンソース パッケージを積極的に評価するのに役立つツールを特定し、時間をかけて事前にレビューおよび承認されたオープンソース コンポーネントのカタログを構築する必要があります。 多くの企業におけるオープンソースの利用は必然的に増加し続け、Log4Shellのようなソフトウェアサプライチェーン攻撃はより頻繁に発生するようになるでしょう。こうした状況において、オープンソースを利用するすべての企業は、オープンソースの利用に伴うセキュリティ、メンテナンス、そしてレジリエンスの課題に対処するための、健全なオープンソースソフトウェアサプライチェーン管理戦略を備えているかどうかを評価する必要があります。 |
