Google、log4j に関するレポートを受け、オープンソース セキュリティの改善を求める CSRB の呼びかけを支持

※この投稿は米国時間 2022 年 7 月 22 日に、Google Cloud blog に投稿されたものの抄訳です。

米国国土安全保障省（DHS）は先日、2021 年後半に発見されたソフトウェア ライブラリ log4j の脆弱性に関する Cyber Safety Review Board（CSRB）の最初のレポートを公開しました。Google は、CSRB レポートの作成に参加し、このインシデントやその他のインシデントへの対応経験を共有するという機会を得ました。

この機を逃さず、Google は本日、log4j レポートの勧告に対する Google のアプローチをお伝えします。Google はこれを、協力してオープンソース セキュリティを高めながら、業界の他の人々をサポートする、重要な取り組みだと捉えています。これには次のものが含まれます。

  1. ベスト プラクティスの導入の促進

  2. より優れたソフトウェア エコシステムの構築

  3. デジタル セキュリティへの長期的な投資

これらの取り組みには、他者を保護するために Google が講じている措置や、すべての人のためにセキュリティを向上させるという Google の幅広いコミットメントが反映されています。

Google は、log4j のようなインシデントを検証する CSRB の設立など、米国政府による国のサイバーセキュリティ改善の取り組みを高く評価しています。

レポート勧告: セキュリティ衛生に対する既存のベスト プラクティスの促進

Google は、今後もセキュリティをプロダクト戦略の基礎とし、内部フレームワークとベスト プラクティスを共有していきます。Google は、業界の関係者と緊密に連携し、エコシステムの脆弱性を特定して対処するとともに、セキュリティ上の最新の脅威に対処する方法のベスト プラクティスを共有します。この情報を共有することで、オープンソース エコシステムのセキュリティとサステナビリティについて、業界全体での議論と進展が促されることを期待しています。

たとえば、Google は Open Source Security Foundation（OpenSSF）による、オープンソース プロジェクトの協調的な脆弱性の開示（CVD）に関するガイドの作成に大きく貢献しました。このガイドの一部は、Google が以前に公開した CVD をベースにしており、脆弱性を公開するためのプロセスを提案しています。これには、一般的に必要とされるポリシーやコミュニケーション テンプレート（制限の通知や開示のアナウンスなど）などが含まれます。

さらに、Google は OpenSSF と連携して、オープンソース向けの Security Scorecards の確立を支援しました。これは、重要なオープンソース プロジェクトのセキュリティに関するベスト プラクティスの評価を自動化する取り組みです。このデータは、さまざまなソフトウェア言語に及ぶ 100 万もの重要なオープンソース プロジェクト向けに公開されています。この取り組みは、既存の Secure Software Development Framework（SSDF）の要件にも合致しています。

レポート勧告: より優れたソフトウェア エコシステムの構築

Google は 20 年近くにわたり、より優れたソフトウェアを構築し、エコシステム全体でオープンソース イノベーションを推進する、業界のリーダーであり続けています。Google のオープンソース コントリビューターは、自分のコードだけでなく、さまざまなプロジェクトやリポジトリに影響を与えています。Google は、誰もがグローバルなオープンソース エコシステムに参加して貢献できるプロジェクトやプログラムに対する出資、開発、投資をしています。オープンソース プロジェクトの健全性と可用性は、世界中のユーザーとデベロッパーのセキュリティ体制を強化するため、Google は今後もオープンソースのセキュリティ対策を最優先し、他の人たちにも同じことをするよう促していきます。  

たとえば、2021 年にリリースした Open Source Insights は、プロジェクトの依存関係とプロパティをリストアップして可視化するよう設計されたツールです。2021 年 12 月後半に log4j の問題が発生したとき、Open Source Insights チームは、35,000 以上の Java パッケージがこの脆弱性の影響を受けていることを報告し、パッチの適用と修復措置の指針となる、500 のパッケージのリストを作成しました。

やるべきことはまだあります。今週の時点で、影響を受けたパッケージのうち、問題が修復されたものは 40% にすぎないとチームは報告しています。また、企業や公共機関のお客様をサポートするため、Assured Open Source Software サービスもリリースしました。このサービスを使用すると、オープンソースの依存関係を保護する複雑なプロセスを開発、保守、運用する必要性が減少します。

その一方、Google は、業界を真に前進させるには、構築プロセス全体をコントロールする必要があることも指摘し続けています。ソフトウェア部品表（SBOM）は、特定の時点のソフトウェア構成を確認する上で有用ですが、サプライ チェーンにおけるすべてのリスクに対応するものではありません。そのため、Google は OpenSSF と協力して、ソフトウェア サプライ チェーン全体でソフトウェア アーティファクトの整合性を確保するためのエンドツーエンドのフレームワークである、ソフトウェア アーティファクトのためのサプライ チェーン レベル（SLSA）のフレームワークを公開しました。SLSA は、Google の本番環境ワークロードを保護するために 10 年間使用されてきた、類似する Google の内部プロセスにヒントを得ています。SLSA を使用すると、ユーザーは使用するソフトウェアのセキュリティ対策について、十分な情報に基づく選択を行うことができます。SLSA フレームワークは、ソフトウェア作成プロセスの各段階を保護するためのガイドラインとエビデンスを提供し、パッケージに添付される最終的な SBOM が信頼に足るものだと見なされるようにします。

さらに広い視点で見ると、Google は、オープンソースのセキュリティを向上させる革新的なセキュリティ ソリューション開発に特化した、フルタイムの専任エンジニア チームを擁しています。たとえば、Google は OpenSSF と協力して、コード アーティファクトの署名と検証を行う sigstore、脆弱性のトリアージを自動化する脆弱性スキーマ、コミュニティ ファジング サービスの OSS-Fuzz などのプロジェクトを設立しています。また、この取り組みを発展させ、重要なオープンソース プロジェクトにアップストリームからフルタイムでエンゲージする、オープンソース メンテナンス クルーも新設しています。

レポート勧告: 未来への投資

レポートが指摘するように、log4j への対応は現在も続いています。Google は、長期にわたり国のデジタル セキュリティを向上させるには、官民の関係者が将来に向けて大規模な投資を行う必要があるという CSRB の認識を高く評価しています。Google は、自分たちの役割を果たすことに全力を尽くしています。たとえば、Google は昨年、ソフトウェア サプライ チェーンの保護やオープンソース セキュリティの増強など、サイバーセキュリティの強化に今後 5 年間で 100 億ドルを投資することを発表しました。これには、オープンソース セキュリティの優先度を管理し、脆弱性の修正を支援する OpenSSF のような第三者の財団をサポートする 1 億ドルも含まれます。

また、OpenSSF の Alpha-Omega プロジェクトや SOS プロジェクトを開始し、直接的な資金提供による重要なオープンソース プロジェクトのセキュリティ対策の改善にも取り組んでいます。これには、セキュリティ専門家の雇用、重要なプロジェクトのセキュリティ監査の実施、安全なソフトウェア開発ライフサイクルの一環としてのセキュリティ ツールの組み込み支援などに対する資金提供が含まれます。Google は昨年、さまざまなオープンソース セキュリティの取り組みに 750 万ドルを拠出しました。

Google は、今後のレビューボード プロセスに参加する機会を歓迎しています。また、他の企業と協力して、国のソフトウェア サプライチェーン エコシステムを引き続き保護することに期待を寄せています。官民の関係者が log4j から多くの教訓を得たことは明白です。このレポートは、共有された課題と考えられる解決策について深く考察しています。今こそ、私たちはこれらの教訓に基づいて行動し、エコシステム全体のセキュリティを高めなければなりません。

- プライバシー、安全、セキュリティのエンジニアリング担当バイス プレジデント Royal Hansen