サイバートラスト、OpenSSF の「OSS セキュリティのための動員プラン」に向けた活動を開始

〜 オープンソースセキュリティ強化に向けた 10 の動員プランの ７ つにコミットし、コミュニティ貢献を通じた製品、サービス計画を強化 〜

2022 年 10 月 24 日
サイバートラスト株式会社

サイバートラスト株式会社（本社：東京都港区、代表取締役社長：眞柄 泰利　以下、サイバートラスト）は、The Linux Foundation の OpenSSF ^※1 が推進する OSS のセキュリティ強化に関する 3 つの目標と 10 項目の動員プランに対して、7 つの重点分野について具体的な活動をスタートしました。Linux Foundation やコミュニティとともに、オープンソースとソフトウェア サプライチェーン セキュリティへの対応を推進し、グローバル推進のセキュリティ強化をいち早く自社の製品、サービスに取り込み、OSS を利活用される顧客システムや社会インフラへの信頼性の実現をサポートしてまいります。

下記の重点項目について、全社横断で活動している OSPO ^※2 チームを活用し、コミュニティ連携と事業推進の両輪を迅速に推進できるシームレスな部門横断体制を構築し、活動を開始しました。

• セキュリティ教育と認定：OpenSSF で発行する英語コンテンツの日本語翻訳やコミュニティ、市場でのトレーニング、セミナーの実施
• デジタル署名：電子認証局運営の知見共有と国内での Sigstore ^※3 運用可能性の検討
• データ共有：ディストリビューターの知見を活かした、OSS 利用状況、CPE（Common Platform Enumeration：共通プラットフォーム一覧）のゆらぎなどの情報フィードバック、修正
• SBOM ^※4 の普及：SBOM 利用状況情報のフィードバック、自社製品、サービスとの SBOM 連携の強化、提供
• サプライチェーンの改善：Yocto、KernelCI、CIP などの OSS ビルドシステム、CI/CD、ツールなどのコミュニティへの積極参加、フィードバックと自社製品、サービスへの迅速な取り組み

その他、新しい脆弱性の検出の加速、OSS コンポーネントのサードパーティコードのレビュー（監査）の施策実施を予定しています。

これまでの実績として、自社製品として提供するサーバーやネットワーク機器に内在する脆弱性の可視化と対応を自動化する脆弱性管理ツール「MIRACLE Vul Hammer」の最新版での SBOM 連携による脆弱性管理の強化 や、 IoT・組込み用超長期サポート対応 Linux OS「EMLinux」で ビルドされるパッケージの脆弱性チェック、SBOM 生成などの機能を実装 しています。また、グループ企業のリネオソリューションズを通じた Linux Foundation 公認 Yocto トレーニングの開催やエンジニア教育の実施など、事業を通じて OSS を用いたユーザーの情報システムの運用や、IoT 製品のセキュアな開発などの実装レベルでのセキュリティの強化を推進しています。

＜サイバートラストの OpenSSF セキュリティ動員計画への貢献については以下をご覧ください＞

サイバートラストはこれまでさまざまな OSS コミュニティで活動をしており、OpenSSF においても General Member として日本での普及に向けて主要イベントでの貢献を行っています。また、2022 年 6 月には OSPO を設立し、企業全体として OSS への理解を深めて OSS 活動の強化、および OSS 活動と企業戦略をリンクした取り組みを推進しています。今回発表した 7 項目の動員プランでの重点項目に対してコミュニティと連携して、当社の製品サービスへの反映と市場投入、長期的な運用を具体的に推進します。社会や企業での DX 推進においても OSS が多用されるなか、Linux Foundation や OSS コミュニティと連携したセキュリティ強化への取組みにより安心、安全な社会の実現に貢献してまいります。

2022 年 12 月 5 日からパシフィコ横浜で開催される Linux Foundation 主催のオープンソースの世界的な技術カンファレンスである「Open Source Summit JAPAN」にサイバートラストはゴールドスポンサーとして参加し、積極的にコミュニティ貢献を行うとともに、セキュリティや組込み分野での Linux や、OSPO の設立・運営に関連するセッションを担当、企業ブースを出展する予定です。

• What We Learned from Creating OSPO at Cybertrust Japan - Takanori Suzuki
• Delivering Security Fixes Continuously Into Your Embedded Linux - Hiraku Toyooka

関連 Web サイト

• Linux Foundation と OpenSSF、Open Source Security Summit Japan を開催 （8 月 23 日発表 The Linux Foundation プレスリリース）
• Linux Foundation と Open Source Security Foundation (OpenSSF)、業界と政府のリーダーを集めたオープンソースソフトウェアセキュリティサミット II を開催 （5 月 16 日発表 The Linux Foundation プレスリリース）
• OSS セキュリティのための動員プラン （「The Open Source Software Security Mobilization Plan」日本語参考訳）
• サイバートラスト、オープンソース プログラム オフィス（OSPO）を設立 （6 月 23 日発表 サイバートラストプレスリリース）

※1

OpenSSF（Open Source Security Foundation）：Linux Foundation 下で進められているオープンソースソフトウェアのセキュリティ強化を目的として活動するグローバルコミュニティ。

※2

OSPO とは：Open Source Program Office として、オープンソースの世界と企業の内部との全ての接点に関与・支援し、OSS への貢献と事業との接続を図る部門や組織。OSS を組織で利用・推進する際の戦略や管理を司り、活動には OSS ライブラリの選択、ライセンスコンプライアンスのワークフロー、広範な OSS コミュニティとの関係などの監督が含まれます。

※3

Sigstore とは：透明性のあるログ技術を使った暗号化ソフトウェア署名の導入により、サプライチェーン攻撃に対する保護を目的にしているオープンソースのソフトウェア署名サービス。The Linux Foundation などによるプロジェクトが開発・推進しています。

※4

SBOM（Software Bill of Materials）とは：ソフトウェアに含まれるコンポーネントや依存関係、ライセンスの種類などをリスト化したソフトウェア部品表。ソフトウェアサプライチェーンにおいてトランスペアレンシー（透明性）とトレーサビリティ（追跡可能性）を確保するための有効な手段として、世界的に普及が進んでいます。

サイバートラスト株式会社について

サイバートラストは、日本初の商用電子認証局として 20 年以上にわたり提供している認証・セキュリティサービスと、ミラクル・リナックスのカーネル技術やオープンソースソフトウェア（OSS）の知見を応用したオンプレミス、クラウド、組込み領域向けの Linux/OSS サービスを展開しています。また、これらの技術や実績を組み合わせ、IoT をはじめとする先端分野に向けて、「ヒト・モノ・コト」の正しさを証明し、お客様のサービスの信頼性を支えるサービスを推進しています。
「信頼とともに」。サイバートラストは、IT インフラに関わる専門性・中立性の高い技術で、安心・安全な社会を実現します。

当プレスリリースに関するお問い合わせ先

サイバートラスト株式会社
広報担当：椎名・佐伯
メール： press@cybertrust.co.jp

* 本プレスリリースに記載されている会社名、製品名、サービス名は、当社または各社、各団体の商標もしくは登録商標です。
* Linux は、Linus Torvalds の米国およびその他の国における商標または登録商標です。
* The Linux Foundation はさまざまな商標を所有しています。The Linux Foundation の商標一覧はこちらのページでご確認いただけます。