LFとOpenSSFがオープンソースのセキュリティに関する会議「Open Source Software Security Summit II」を開催、ほか

ITインフラ

技術解説

連載 [第20回] :

月刊Linux Foundationウォッチ

2022年5月31日(火)

吉田行男

こんにちは、吉田です。今回は、まず2022年5月12日に米国ワシントンDCで開催された、オープンソースのセキュリティに関する会議「Open Source Software Security Summit II」の内容について紹介します。

オープンソースとソフトウェアサプライチェーンのセキュリティ対応

昨年5月に署名された「国家サイバーセキュリティ改善に関する大統領令」に基づいてさまざまな活動が行われていますが、本会議は、その中の1つとしてLinux FoundationとOpen Source Software Security Foundation(OpenSSF)がオープンソースソフトウェアのレジリエンスとセキュリティ向上のために取るべき主要行動について合意するため、37社90人以上の企業幹部と米国家安全保障局(NSA)、米サイバーセキュリティ・インフラセキュリティ庁(CISA)、米国標準技術研究所(NIST)などの政府関係者を集めて開催されたものです。

【参照】Linux FoundationとOpen Source Software Security Foundation (OpenSSF)、業界と政府のリーダーを集めたオープンソースソフトウェアセキュリティサミットII を開催
https://www.linuxfoundation.jp/press-release/2022/05/linux-foundation-openssf-gather-industry-government-leaders-open-source-software-security-summit/

今回の会議では、オープンソースとソフトウェアサプライチェーンのセキュリティに対応することを目的とし、10件の重要な問題への解決策を提示され、2年間で1億5000万ドル(約200億円)の資金が必要であることを確認しました。

資金面では、既にAmazon、Ericsson、Google、Intel、Microsoft、VMWareなどが3,000万ドル(約38億円)の提供を約束しています。さらに、Amazon Web Services(AWS)はOpenSSFへの出資を拡大し、今後3年で1000万ドル(約13億円)を出資すると約束しています。

「10件の重要な問題」とは、下記の項目です。

セキュリティ教育：安全なソフトウェア開発の基本となる教育と認定を、すべての人に提供する
リスク評価：トップ1万件(またはそれ以上)のOSSコンポーネントについて、一般に公開されベンダーニュートラルで客観的指標に基づくリスク評価ダッシュボードを確立する
デジタル署名：ソフトウェアリリースにおけるデジタル署名の採用を加速させる
メモリの安全性：メモリセーフでない言語を置き換えることにより、多くの脆弱性の根本原因を排除する
インシデントへの対応：OpenSSF Open Source Security Incident Response Team(OpenSSF オープンソースセキュリティインシデント対応チーム：脆弱性対応の重要な時期に、オープンソースプロジェクトを支援できるセキュリティ専門家の集団)を設置する
スキャン機能の向上：高度なセキュリティツールと専門家によるガイダンスを通じて、メンテナーや専門家による新しい脆弱性の発見を加速させる
コード監査：最も重要なOSSコンポーネントの最大200件について、サードパーティのコードレビュー(および必要な修正作業)を年に1回実施する
データ共有：業界全体のデータ共有を調整し、最も重要なOSS コンポーネントを決定するのに役立つ調査を改善する
SBOMの普及：SBOMツールとトレーニングを改善して採用を促進する
サプライチェーンの改善：より優れたサプライチェーンセキュリティツールとベストプラクティスで、最も重要な10件のOSS ビルドシステム、パッケージマネージャー、ディストリビューションシステムを強化する

このように、米国では政府とITベンダーが連携し、オープンソースとソフトウェアサプライチェーンのセキュリティ対応を進めています。

サービスメッシュに関する調査結果

次に、CNCFが昨年末に実施したサービスメッシュに関する調査の結果を公開したので紹介します。

【参照】Service meshes are on the rise — but greater understanding and experience are required
https://www.cncf.io/wp-content/uploads/2022/05/CNCF_Service_Mesh_MicroSurvey_Final.pdf

クラウドネイティブはデジタルトランスフォーメーションを推進していますが、多様なテクノロジースタックを使用して展開されるアプリケーションとサービスが増えるにつれ、パフォーマンスと可用性の提供と管理が困難になってきます。サービスメッシュは、サービス間の通信を処理する専用のレイヤーを作成し、サービスの一貫性と信頼性、セキュリティおよび可観測性を確保することでこれらの課題に対する解を提供しています。

今回の調査は253人と少ないですが、そのうち70％は本番または開発でサービスメッシュを実行しているという回答が得られました。サービスメッシュが大きくなるとプロジェクトの数も増えます。また、現在使用している、または来年に使用する予定の15のプロジェクトまたは製品として、下図のようにLinkerd(72％)とIstio(34％)の2つが他を引き離して選択されました。

【参照】「CNCF_Service_Mesh_MicroSurvey_Final」pdf P.3

また、サービスメッシュを導入する際にセキュリティが最大の関心事であり、79%がトランザクション中のサーバーとクライアントのmTLS認証などの技術を信頼し、攻撃成功のリスクを軽減するのに役立っていると回答しています。

【参照】「CNCF_Service_Mesh_MicroSurvey_Final」pdf P.3

可観測性が78%でセキュリティに次いで僅差で2位となりましたが、クラウドインフラの重要性と複雑性が増すにつれて、システムの健全性を把握するための可観測性への関心が高まっていることがわかります。

3位はトラフィック管理(62％)で、サービスメッシュによって軽減されることが期待されるクラウドネイティブの複雑性を考慮した上で、重要な検討事項になります。組織は、より洗練されたブルー／グリーン展開シナリオを実行しようとしているため、トラフィック管理は、エンドポイントやサービスの検出、サービス間のAPIコールの制御、サービスの隠蔽や公開など、さまざまな機能に適用される可能性があります。

4位は信頼性(56%)で、ここで想定される問題としては遅延、帯域不足、セキュリティ事故、クラウド環境の異種構成、アーキテクチャやトポロジの変更などが挙げられます。回答者はこれらのネットワーキングとサービス内通信の課題を克服するサービスメッシュを期待しているのかもしれません。

サービスメッシュへの関心は高いものの、その導入にはハードルがあります。まず、非技術的な課題として回答された上位3つは、エンジニアリングの専門知識や経験の不足(47%)、アーキテクチャや技術の複雑さ(41%)、ガイダンスや設計図、ベストプラクティスの不足(36%)でした。新しい技術の場合、常にこのような項目が挙げられることが多いわけですが、サービスメッシュも例外ではないと言えるでしょう。

【参照】「CNCF_Service_Mesh_MicroSurvey_Final」pdf P.5

また、技術的な課題について最も多かった回答は統合(32%)で、信頼性と一貫性(26%)、ポリシーの定義(22%)、モニタリングとトレース(22%)、ポリシー管理(21%)と続きます。回答者の4分の1は“上記のどれでもない”という項目で、さらなる課題を投げかけています。さらに説明を求めるとCI/CDの統合、トラブルシューティングの難しさ、特定の製品に関する問題などが挙げられました。

【参照】「CNCF_Service_Mesh_MicroSurvey_Final」pdf P.5

このように、まだまだ課題も多いサービスメッシュですが、クラウドネイティブインフラの重要な構成要素になっており、今後も動向を注視していく必要があると思います。

Linux Foundation / Cloud Native Conputing Foundation

著者

吉田行男

この著者の記事一覧この著者の
記事一覧

2000年頃からメーカー系SIerにて、Linux/OSSのビジネス推進、技術検証を実施、OSS全般の活用を目指したビジネスの立ち上げに従事。また、社内のみならず、講演執筆活動を社外でも積極的にOSSの普及活動を実施してきた。2019年より独立し、オープンソースの活用支援やコンプライアンス管理の社内フローの構築支援を実施している。