セキュリティ & アイデンティティ

Cloud CISO の視点: 2023 年 9 月下旬

2023年10月13日

https://storage.googleapis.com/gweb-cloudblog-publish/images/cybersecurity_action_team_jl2RU0c.max-2600x2600.jpg

Google Cloud Japan Team

※この投稿は米国時間 2023 年 9 月 30 日に、Google Cloud blog に投稿されたものの抄訳です。

2023 年 9 月、2 回目の投稿となる「Cloud CISO の視点」をご覧いただきありがとうございます。今月は、Google Cloud のインフラストラクチャ担当バイスプレジデントで Google Fellow でもある同僚の Eric Brewer にバトンを渡し、今年の Securing Open Source Software Summit の重要性と、なぜオープンソースコードのセキュリティ確保が私たちの直面する最も重要な課題の一つなのか、その理由を説明してもらいます。

これまでのすべての「Cloud CISO の視点」と同様、このニュースレターのコンテンツは Google Cloud 公式ブログに投稿されます。このニュースレターをウェブサイトでご覧になっており、メール版の受信をご希望の方は、こちらからご登録ください。

オープンソースのセキュリティが環境保護に似ている理由

執筆者: Google Cloud、インフラストラクチャ担当バイス プレジデント兼 Google Fellow、Eric Brewer

今月初旬、Phil と私は、ワシントン D.C. で Open Source Security Foundation（OpenSSF）が主催する 2023 Securing Open Source Software Summit に参加することができました。私たちは、テクノロジー業界、主要なオープンソース財団、一部の米国政府機関を代表する数十人の主要な専門家や実務担当者とともに、過去 18 か月間にオープンソースのリスクに対処するために実施された進捗を振り返り、今後の協力の優先順位を確認しました。

https://storage.googleapis.com/gweb-cloudblog-publish/images/Eric_Brewer_Headshot.max-900x900.jpg

第 1 回目の Open Source Software Security Summit は、Log4Shell 脆弱性の直後にホワイトハウスで開催されました。Log4Shell は簡単に悪用できてしまい、重大度スコアが完全に 10.0 に達する、最悪規模の脆弱性でした。当時、インターネット史上最大級の集団インシデント対応活動として、何万人ものセキュリティ担当者が脆弱なシステムの発見とパッチ適用に奔走しました。

今年のサミットは、前回と比べていくらか明るい雰囲気ではありましたが、それでも一つの反省の機会となりました。Log4Shell から得られた重要な教訓は、オープンソースのセキュリティは環境保護に似ているということです。それは、オープンソースソフトウェアが「公共の利益」だからです。公共の利益とは、誰もが恩恵を受けられ、資源を奪い合う必要がないことを意味する経済用語です。ソフトウェアデベロッパーが互いの貢献を自由に再利用して構築できるオープンソースエコシステムは、テクノロジー、公共サービス、金融サービスやヘルスケアなどの分野におけるデジタルイノベーションの重要な推進力になっています。同様に、あるデベロッパーがオープンソースコードを利用したことで、他のデベロッパーがオープンソースを利用する機会が減ってしまうわけではありません。

ただし、人間の活動が環境や自然の生態系に負担をかけることがあるように、メンテナンスに対する相応の投資をせずにオープンソースプロジェクトを利用することは持続不可能であり、重要なプロジェクトの脆弱性が高まる可能性があります。私たちは誰もがオープンソースエコシステムの管理者なのです。時間をかけて他の人のコードをレビューし、必要に応じてクリーンアップすることで、健全なオープンソースエコシステムを支えています。その中で、政府機関や Google のようなテクノロジー企業などの大規模組織は、単独ではないにしても、非常に大きな役割を担っています。

私は数年前から「公共の利益」について主張してきましたが、大きな変化は、米国政府もこの枠組みを使用するようになったことです。以下で取り上げている米国の新しいオープンソースセキュリティロードマップで確認できます。米国がオープンソースのセキュリティ戦略を策定し、しかもそれが「公共の利益」の観点に沿ったものであるということは、非常に画期的なことです。

Google がオープンソースのセキュリティを推進する方法

Log4Shell が登場する以前から、Google はソフトウェアサプライチェーンへの攻撃増加という憂慮すべき事態に対応するため、主要なオープンソースエコシステムのセキュリティ確保に多額の投資を行っていました。Google は 10 年以上にわたって基本的な部分（Linux や OpenSSL のサポートなど）で素晴らしい取り組みをしてきましたが、私の中でサプライチェーン攻撃についての懸念が高まっていったのは 2018 年のことです。特に Kubernetes の技術リーダーとしての役割を果たす中で、私たちがいかに多くの危険な依存関係を共同で使用しているかに気付いたのです。

今年のサミットの大きな収穫となったのは、オープンソースセキュリティをめぐる米国政府の政策が、その政策を遂行するための戦略、リソース、専門知識の面で急速に進化している事実が明らかになったことでした。

これをきっかけに、私は 2019 年に OpenSSF を創設し、Microsoft やその他の企業と協力して、こうした非常に難しい問題に業界全体でアプローチすることにしました。残念なことに、混乱に満ちたパンデミックの到来により、私たちは前途多難なスタートを切ることとなりました。2020 年初頭の SolarWinds 攻撃は、まさに私が心配していたタイプの攻撃でした。それによって、OpenSSF へのエネルギーと関心が（そして資金も！）目に見えて爆発的に増加したのです。

2020 年 8 月、Google は OpenSSF の再始動を支援し、オープンソースのメンテナンス担当者が脆弱性に対処できるよう 1 億ドルの資金提供を約束しました。初年度は OpenSSF と提携し、デベロッパーが信頼できるライブラリを特定するのを支援する Scorecard や、構築とリリースのプロセスを強化するフレームワーク SLSA などのツールを発表しました。

2022 年の第 1 回サミットの後、Google は重要なオープンソースプロジェクトのメンテナンス担当者と緊密に連携する専任エンジニアのチーム、「オープンソースメンテナンスクルー」の創設を発表しました。2023 年 5 月の時点で、このチームのメンバーは、広く利用されている 180 以上のプロジェクトのセキュリティ改善に貢献しました。また、OpenSSF やその他のテクノロジー企業と提携して、Alpha-Omega も立ち上げました。これは、いくつかの影響力の大きいプロジェクトにリソースと専門知識を迅速に提供し、さらに何千ものプロジェクトでツールを自動化することを目的としたプログラムです。

Google Cloud では、Assured OSS ソリューションを通じて、お客様がオープンソースを安全に利用できるよう支援する取り組みも行っています。Assured OSS により、Google Cloud は 1,000 以上の最も人気のある Java および Python パッケージを厳選し、あらゆる規模の組織に、Google のエンジニアが利用しているのと同じ信頼できるライブラリへのアクセスを提供しています。各ライブラリには、継続的にファズテストとスキャンがかけられ、Google 固有の公開鍵/秘密鍵で署名されます。また、利用可能なソフトウェア部品表（SBOM）も含まれています。

オープンソース エコシステムを保護するための官民パートナーシップ

今年のサミットの大きな収穫となったのは、オープンソースセキュリティをめぐる米国政府の政策が、その政策を遂行するための戦略、リソース、専門知識の面で急速に進化している事実が明らかになったことでした。このサミットには、国家安全保障担当副補佐官の Anne Neuberger 氏（ホワイトハウスで第 1 回サミットを開催。これらの優れた活動の熱心な提唱者）、国家サイバー局長代理の Kemba Walden 氏、CISA 事務局長補佐官の Eric Goldstein 氏のほか、政府全体から多くの人々が参加しました。

連邦政府がオープンソースのセキュリティに有意義な貢献をすることを表明し、OpenSSF のような財団や Google のような企業と提携して、オープンソースを効果的に管理するためのリソースが不足している他のセクターや組織にも話を広げようとしていることを、個人的にとても嬉しく思っています。

Log4Shell 以降の 18 か月の間、政府機関はオープンソースセキュリティへの取り組みを強化するために、次のような多くの措置を講じてきました。

3 月、米国の国家サイバーセキュリティ戦略により、安全なオープンソースツールとフレームワークの開発に投資することを米国連邦機関に表明し、小規模な独立系オープンソースデベロッパーに対する責任保護を示唆しました。
今年初め、国家サイバー長官室（ONCD）は、ホワイトハウス、米国サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）、その他複数の機関と共同で、メモリの安全性の問題に焦点を当てたオープンソースソフトウェアセキュリティイニシアチブ（OS3I）を立ち上げました。
サミットの初日、Goldstein 氏は、連邦オープンソースプログラムオフィス（OSPO）の立ち上げ、オープンソースのリスクマッピングの継続、SBOM の採用促進、セキュリティ教育とベストプラクティスへのアクセス拡大に関する CISA の計画を概説する、オープンソースセキュリティロードマップを発表しました。

このリストがすべてを網羅しているわけではありません。連邦政府がオープンソースのセキュリティに有意義な貢献をすることを表明し、OpenSSF のような財団や Google のような企業と提携して、オープンソースを効果的に管理するためのリソースが不足している他のセクターや組織にも話を広げようとしていることを、個人的にとても嬉しく思っています。

官民の連携で最も有望な分野には次のようなものがあります。

メモリセーフな言語の採用を推進: OS3I はすでに、C や C++ のようなメモリセーフではないプログラミング言語からの移行戦略を開発することを最優先課題とすると表明しています。Google を含む世界中の大手テクノロジー企業も同様に、Rust のような言語の採用に向けた複数年にわたる取り組みの真っ只中にあります。OS3I は、情報や教訓を交換するために不可欠なフォーラムとなるでしょう。
業界固有のオープンソース依存関係をマッピング: OpenSSF の Alpha-Omega のようなプロジェクトが、リスクの高い少数の依存関係における脆弱性を修復するリソース提供の迅速化を目的としているように、次のステップは、この戦略を産業分野別に適用することかもしれません。Google のような企業が、セクターリスク管理機関（SRMA）やそれに対応する ISAC と協力し、脅威の共有やインシデント対応計画に加え、サプライチェーンのセキュリティを優先することで、重要なインフラストラクチャオペレーターの「シフトレフト」を支援する大きな機会が生まれます。
セキュリティ教育とトレーニング: ソフトウェアエンジニアが高品質かつ低コストのセキュリティ教育を十分に受けられないことが、より安全なオープンソースエコシステムを構築するうえで大きな障壁となっています。ISC2 のような組織は近年、何万人ものプロフェッショナルの育成に成功していますが、まだやるべきことは多くあります。Google は昨年、Google が支援する Cyber Clinics で提供される実践的なトレーニングを通じて、新しい Google Cybersecurity Certificate プログラムからそのギャップを解決するための取り組みとして多くの新しいリソースを立ち上げました。

Google は ONCD の Open Source Software Security RFI への回答を通じて、オープンソースのエコシステムを強化するために官民パートナーシップを活用する方法について意見を表明する予定です。

その他の最新情報

セキュリティチームからこれまでに届いた今月のアップデート、プロダクト、サービス、リソースに関する最新情報は以下のとおりです。

見かけだけのセキュリティ対策をやめることで、リーダーがリスクを軽減する方法: クラウドにおける効果の薄い張りぼてのセキュリティ対策は問題ですが、克服できないものではありません。組織が直面するリスクを軽減するには、見せかけの演出をやめ、より実践的なセキュリティを採用しましょう。詳細はこちら。
Chronicle Security Operations 統合プラットフォームのご紹介: Chronicle の最新アップデートでは、SOAR ソリューションと SIEM ソリューションを統合し、Mandiant の攻撃対象領域管理テクノロジー統合と、脅威インテリジェンスのより堅牢なアプリケーションを提供します。詳細はこちら。
Intel CPU で Confidential VMs を使用: 新しいインテリジェントな保護: Intel とのパートナーシップにより、Google Cloud は新しい C3 マシン上の Confidential VMs を拡張し、第 4 世代 Intel Xeon スケーラブル CPU と Intel TDX テクノロジーを利用できるようになりました。詳細はこちら。
Security Command Center での新しいカスタム セキュリティ対策管理と脅威検出: Security Command Center を使用することで、組織は自社の Google Cloud 環境向けに独自にカスタマイズしたセキュリティ管理と脅威検出機能を設計できるようになりました。詳細はこちら。

Policy Controller 違反が Security Command Center で確認可能に: Policy Controller は、Google Kubernetes Engine のプログラム可能なポリシーを適用し、ワークロードのセキュリティ、ガバナンス、コンプライアンスのガードレールを使用してお客様を支援します。詳細はこちら。

Mandiant からのニュース

攻撃対象領域を縮小するスケーリング方法: 成果に焦点を当てたリスクベースのセキュリティアプローチを可能にする、Mandiant Attack Surface Management（ASM）の新機能を発表しました。詳細はこちら。
バックチャネル外交: APT29 の急速に進化する外交フィッシング活動: 2023 年上半期、Mandiant と Google の脅威分析グループ（TAG）は、ウクライナの外国大使館を中心とした APT29 のフィッシング活動の頻度と範囲が増加していることを追跡しました。詳細はこちら。
州や地方のサイバーセキュリティ補助金で政府インフラストラクチャを強化: 州政府、地方政府、部族政府、準州政府（SLTT）が所有、運営する、あるいはその代理として運営されている情報システムを保護するために、米国政府から新たな資金援助が受けられるようになりました。詳細はこちら。

Google Cloud セキュリティと Mandiant のポッドキャストをぜひお聴きください

Google 規模でのシステム強化: 新たな課題、新たなソリューション: システムの強化はこの 20 年で大きく変わりました。強化プロセスの運用化から新たな規制への対応まで、ホストの Anton Chuvakin と Tim Peacock が、Google のセキュリティエンジニアリング担当シニアマネージャーの Andrew Hoying とともに詳しく説明します。ポッドキャストを聴く。
Chronicle とは？XDR を超え、次世代の SecOps へ: Chronicle が有意義な話題を提供します。Google Cloud セキュリティ運用プロダクト管理担当シニアディレクターの Chris Corde が、「Chronicle を使用する理由」について Anton と Tim とともに語ります。ポッドキャストを聴く。
脅威の傾向: Lookout で WyrmSpy と DragonEgg を解明する: Lookout のスタッフ脅威研究者である Kristina Balaam 氏がホストの Luke McNamara とともに、2 つの新しいモバイルマルウェアファミリが APT41 に起因するという彼女の研究について議論します。ポッドキャストを聴く。

月 2 回発行される「Cloud CISO の視点」をメールで受信するには、こちらからニュースレターにご登録ください。また 2 週間後に、Google Cloud からセキュリティ関連の最新情報をお届けします。

-Google Cloud、バイス プレジデント兼 CISO、Phil Venables

-Google Cloud インフラストラクチャ担当バイス プレジデント兼フェロー、Eric Brewer

投稿先