採用情報

お問い合わせ

BLOG

OSS セキュリティ BLOG

OSS セキュリティ BLOG

2023 年 03 月 14 日

OSS セキュリティ Meetup Tokyo が開催されました

はじめに

2022 年 12 月に開催された Open Source Summit Japan では、コロケーションイベントの OpenSSF Day で弊社サイバートラストから OSS セキュリティに関する取り組みを紹介しました。その際、「日本で OpenSSF Japan-Chapter を立ち上げます!」とぶち上げました。
あれから早三ヶ月が経ちました。その間、The Linux Foundation の皆さまや弊社を含む日本からの OpenSSF メンバーと企画を進め、この度「OSS セキュリティ Meetup Tokyo」を開催することができました。この記事ではその様子をお知らせいたします。
当日の様子は The Linux Foundation から動画が公開されています ※1 ※2。こちらも合わせてご参照ください。

※1
OpenSSF YouTube チャンネル
※2
当日の様子:Inaugural OSS Security Meetup hosted by OpenSSF members in Japan

OSS セキュリティ Meetup Tokyo

OSS セキュリティ Meetup Tokyo は、OpenSSF のメンバーであるサイボウズさんから会場および配信プラットフォームをご提供頂き 2023 年 2 月 28 日に開催されました。会場に 32 名、リモートに 52 名の計 84 名の方々にご参加いただき、The Linux Foundation 日本担当バイスプレジデントである福安氏のオープニングトークを皮切りに以下 4 つのセッションが行われました。当日の資料は The Linux Foundation Japan の Speaker Deck で公開されています。URL は各項に記します。

OSS セキュリティ Meetup Tokyo

OSS セキュリティ強化の重要性と OpenSSF の概要

弊社サイバートラストの池田宗広から、ここ数年のサイバーセキュリティに関する国際動向と、OpenSSF※3 の設立や OSS Security Summit、OSS Security Mobilization Plan(OSS セキュリティのための動員プラン)※4 といった OSS コミュニティの反応について紹介を行いました。
OpenSSF は OSS セキュリティ強化の中心として活動を行っている The Linux Foundation 傘下のプロジェクトであり、今回のセッションを担当した弊社サイバートラスト、サイボウズさん、ルネサス エレクトロニクスさんも参加しています。続くセッションの露払いとして、OpenSSF の概要についてもここで説明を行ないました。
Q&A では「日本語で OSS セキュリティについて議論できる場はあるか?」という質問がありました。「今のところない」とお答えしてしまったのですが、実は Slack チャネルがあります!※5 大変失礼いたしました。皆で参加して議論していきましょう!

資料 URL
https://speakerdeck.com/lfj/20230208-oss-security-meetup-overview-of-openssf-by-cybertrust

※3
OpenSSF
※4
OSS セキュリティのための動員プラン
※5
OpenSSF の Japan チャネル
  • OpenSSF の「Get Involved」ページにある「Participate on Slack」から、OpenSSF の Slack ワークスペース に参加してください。
  • #japan チャネルに参加してください。
  •  サイバートラスト池田宗広

    OpenSSF WGs 紹介

    サイボウズ(株)吉川拓哉 氏、竹村太一 氏から、OpenSSF の Working Group のうち特に Security Tooling WG と Securing Software Repositories WG について、活動内容の紹介と参加の仕方についての提案がありました。
    Security Tooling WG では、現在 SBOM※6 に関する議論・活動が活発に行なわれているとのこと。活動のエントリポイントとしては、SBOM についてのベストプラクティスを試したり、ツールの課題を洗い出したりするのがよいのではないか、という提案がありました。SBOM に関してはサイボウズさんの取り組みについても紹介がありました。
    Security Software Repositories WG は、OSS レポジトリのセキュリティに関する改善と提案を行なっています。現状では重要と目されるプロジェクトに注力して活動しているのですが、OSS には小規模だが非常に重要なプロジェクトもあります。こういったプロジェクトにはまだ WG の目が届いていないと思われるため、それらに対応していくことは有用な貢献になるのではないか、という提案がありました。もしかすると日本では重要とみなされているが世界からはあまり注目されていないプロジェクトというものがあるかもしれません。OSS コミュニティへの貢献として、大変興味深い提案だと感じました。

    資料 URL
    https://speakerdeck.com/lfj/20230208-oss-security-meetup-securing-software-repositories-and-security-tooling-by-cybozu

    ※6
    SBOM
    Software Bill of Material。ソフトウェア部品表。ハードウェアの部品表(BOM)と同様に、システムに含まれるソフトウェアを一覧できる情報のこと。脆弱性対応やライセンス管理の観点で活用が注目されている。

    Best Practice for Open Source Developers WG 活動内容のご紹介

    ルネサス エレクトロニクス(株) 宗像尚郎 氏から、OpenSSF の WG 活動を分析した上で、特に活発と見られる Best Practice for Open Source Developers WG について紹介がありました。
    OpenSSF には8つの Working Group それぞれにメーリングリストがありますが、投稿の統計から見て Best Practice、Vulnerability Disclosures、Security Tooling の3つが活発とのこと。
    このうち Best Practice WG は「for Open Source Developer」という名が示す通り、OSS の開発者向けに Identify(ベストプラクティスの特定)、Learn(教育)、Tools(ツールの提供)という3つのビジョンで活動を行っています。ここで定例ミーティングの参加者を調べたところ、一度参加したきりその後は参加しない人が多く、つまりは常連である 17 人で守っているという実態が見えてきました。更にこの 17 人は、Vulnerability Disclosures WG の常連でもあるとのこと。OSS プロジェクトの常ではありますが、今後の発展はいかにモティベーションの高い参加者を集めるかにかかっているという意見が述べられました。
    なお Best Practice WG のチェアマンである Christopher "CRob" Robinson 氏は、OSS Mobilization Plan で示された 10 の活動項目のうちのひとつである「Education」もリードしています。つまり OSS Mobilization Plan と OpenSSF は一体であり、OSS セキュリティに対して貢献を行うためには外せないポイントである、という見解が示されました。
    IoT・組込み分野でも長年の貢献を行なってきた宗像氏らしい、広い視点で OSS コミュニティの未来を見据えるセッションでした。

    資料 URL
    https://speakerdeck.com/lfj/20230208-oss-security-meetup-best-practices-for-open-source-developers-by-renesas

    トレーニングコース LFD121-JP「セキュアソフトウェア開発」のご紹介

    最後のセッションでは The Linux Foundation 柴田次一氏から、開発者のためのオンライントレーニングコース「セキュアソフトウェア開発 LFD121-JP」の紹介がありました。
    このコースは「Secure Software Development Foundamentals Course」として英語版が 2020 年から公開されていますが、この度スピーカーである柴田氏監修のもと翻訳が行なわれ、日本語版が完成、公開されました ※7。セキュアなソフトウェアを開発するための考え方と手法を、要件・設計・再利用、実装、検証の3部構成で学べるものです。内容は OpenSSF の Best Practice WG で中心的な役割を果たしている David A Wheeler 氏が大学院の講義で使っているテキストを基にしているとのこと。想定所用時間は14〜18時間、最後には厳しいテストが待ち受けているため、充実した内容を全てオンラインでかなりみっちりと学べます。
    英語版のオリジナルコンテンツは Github で公開されており、今後日本語訳もこのレポジトリにマージする予定とのこと。これも日本からの貢献ポイントになり得ますね。

    資料 URL
    https://speakerdeck.com/lfj/20230208-oss-security-meetup-secure-software-development-training-course-by-linux-foundation

    ※7
    セキュアソフトウェア開発(LFD121-JP)

    終わりに

    今回の参加者数は OpenSSF のローカルイベントとしてはかなり多く、後日 OpenSSF の APAC 担当 VP である Julian Gordon 氏から「どんなマーケティングマジックを使ったんだ?」という質問がありました。OSS セキュリティの強化に関しては、まだまだ日本からのアピールが弱い状況です。こういったイベントに参加するにあたっては、議論したいことがある、言いたいことがあるというのはもちろん大切な参加動機ですが、軽い気持ちで聞きに行き参加者数で関心の高さを示すことも、立派な「貢献」ではないかと感じました。参加いただいた皆さま、ありがとうございました。
    最後に、サイボウズさんのオフィスがまるでドラマに出てくるようなおしゃれできれいなオフィスでびっくりしました。弊社も見習いたいところです。社長、見てますか~
    (編注:弊社のオフィスも最近かなりきれいになりました)

    OSS セキュリティや OpenSSF について紹介!

    デジタルトランスフォーメーションのための電子認証基盤 iTrust
    SSL/TLS サーバー証明書 SureServer Prime
    組込み Linux にプラスして 長期間の製品ライフサイクルをサポート EM+PLS