GitHub Universe 2023の会場で、Mike Hanley氏にインタビューを行った。Hanley氏はGitHubのChief Security Officer(CSO)でありSenior Vice President of Engineeringという肩書きを持っている。Duo SecurityというベンチャーがCiscoに買収された後でCiscoのセキュリティのトップとしても活躍した人材だ。2021年2月にGitHubに入社し、CSOとして働いている。
今回のイベントでGitHubのセキュリティには3つの柱があるというプレゼンテーションがありました。顧客である企業や組織を守ること、プラットフォームとデータを守ること、そして3つ目がデベロッパーを守ること、というのがその3つだと思いますが、最後のデベロッパーという部分は他のセキュリティベンダーにはなかった視点だと思います。これについてその背景を教えてください。
GitHubのCSO、Mike Hanley氏
これはGitHubの生い立ちについて考えれば自然とそこに至ると思います。GitHubは最初から、オープンソースソフトウェアのエコシステムを守ることが重要だと考えていました。GitHubは元々Ruby on Railで開発され、多くのオープンソースソフトウェアのコミュニティのコードをホストしているプラットフォームですから、オープンソースソフトウェアのデベロッパーがセキュアなコードを書けるようにすることは自然の流れでした。
デベロッパーが開発時にデータベースや外部サービスのアクセスのためのクレデンシャルを保存しないようにするシークレットスキャンニングや多要素認証などデベロッパーを支援するサービスがGitHub.comには導入されています。その際に使われるシークレットの管理にはHashiCorpのVaultが人気を集めています。GitHubがオリジナルのシークレット管理のソリューションを作らないのはどうしてですか?
これについては2つのポイントがあります。GitHubはなるべく多くのデベロッパーに対して選択の自由と利益をもたらしたいと思っています。そのためさまざまなツールを選択できるほうが良いと考えています。そしてもう一つは標準をベースにしたいと考えていることです。多要素認証についてはFIDO Allianceのパスキーが標準として認められていますし、我々も早い段階から注目してきました。GitHubでもパスキーを使ってログインすることが可能になっています。今回はパスワード管理の1Passwordもスポンサーとして出展していますし、業界の中でもパスキーは利用が拡大しています。シークレット管理についても、今後標準ができればそれに対応したソリューションが出てくるのではと思います。
GitHubにおけるセキュリティ分野のチャレンジは何ですか?
このカンファレンスではAIがさまざまな部分において使われることを訴えていますが、セキュリティについても同様です。キーノートでも紹介した脆弱性のあるソースコードを自動的に修正するautofixもそのひとつですし、シークレットのパターンをAIが解析して正規表現を生成する機能もそうです。標準に対して貢献するという部分ではGitHubはOpenSSF(Open Source Security Foundation)のプレミアメンバーとして活動していますし、米国政府だけではなく世界各国の政府とも連係を取りながら、政府機関におけるセキュリティの向上にも努力を続けています。
今回のUniverseではGitHub Actionsは世界最大のCI/CDツールであるというプレゼンテーションが何度も出てきました。デベロッパーを守るという観点ではCI/CDについてもセキュアなワークフローを作るという必要が出てくると思います。ソースコードを生成するだけでなくCI/CDのパイプラインをCopilotが生成するという可能性もあるんでしょうか?
GitHub Actionsについては企業での使い方、こうやればセキュアに使うことができる、設定の方法などもリソースとして公開しています。GitHub Actionsのためのコード生成にCopilotを使うということは可能性としてはあると思いますね。
注:Hanley氏が説明した企業でのGitHub Actionsの使い方というのは以下のドキュメントだと思われる。
●参考:6 DevOps tips to help engineering leaders deliver software at scale
最後の質問です。セキュリティを高めるためには単にテクノロジーだけが進歩するのではなく、人間に関わる部分も含めて考える必要があると思います。それに関しては?
それはその通りですね。セキュリティのツールだけ使ってもプロセスがセキュアになっていなければ意味がありません。いい例があります。フィッシングについてよく言われるのは「フィッシングで危ないリンクをクリックしてしまうのはユーザーが悪い」ということですが、実際のところユーザーはリンクをクリックして仕事や生活をしているんですよ。なのでその行為自体を責めるのではなく、そもそもそういうフィッシングのリンクが存在しないようにすることのほうが重要なんです。人間の間違いを責めるのではなく、間違いが起こらないようにテクノロジーが支援するそういう方向に進化していくべきだと思います。
なおGitHub UniverseでHanley氏が冒頭の部分を担当したキーノートセッションは以下のリンクから参照して欲しい。
●Mike Hanley氏のセッション:Redefining the next decade of cybersecurity: AI-powered security built to empower developers
またHanley氏が執筆したサプライチェーンにおけるセキュリティを強化するためのブログ記事は以下のリンクを参照して欲しい。ここでは「ビルドシステムは本番システムと同じぐらいに重要である」と説明し、ビルドシステムの過程の先に本番システムが継続して存在することを意識するべきだと説明している。パスキーなどの多要素認証の必要性、アプリケーションに対するSBOMなどの来歴を確認することなどが解説されている。ここではSigstoreとのパートナーシップにも触れていることにも注目したい。
●参考:3 strategies to expand your threat model and secure your supply chain
GitHubによる生成型AIの実装形であるCopilotは、コードやドキュメントの生成に注目が集まっているが、今後セキュリティの分野でどう進化していくのか、注目していきたい。
- この記事のキーワード
関連記事
GitHub Universe 2023、MSのCEOもサプライズで登壇した初日のキーノートを紹介
2024年2月14日 6:00
GitHub Universe開催、ActionsとPackagesの背景にある思想をCTOに訊いた
2020年2月5日 5:50
GitHub Universeで製品担当VPが語ったGitHub Actionsのインパクト
2018年11月30日 6:00
FIDO APAC Summit 2024開催、マレーシア政府のコミットメントを感じるキーノートなどを紹介
2024年12月12日 6:00
Red HatのAnsibleのAPACリーダーにインタビュー。オートメーションのAI化とは?
2024年10月15日 6:10
GitHub Universe 2022、キーノートで見せた多角的にデベロッパーを支援する機能とは?
2023年4月5日 6:00
バックナンバー
この記事の筆者
筆者の人気記事
SASEのCato Networks、CEOによるセミナーとインタビューを紹介
2020年4月16日 6:00
Rustのエコシステムの拡がりを感じるデスクトップアプリのためのツールキットTauriを紹介
2022年12月16日 6:00
Zabbix式オープンソースの秘密に迫る
1月31日 6:00
WebAssemblyとRustが作るサーバーレスの未来
2020年4月21日 6:00
エンタープライズLinuxを目指すSUSE、Red Hatとの違いを強調
2015年2月3日 19:00
RustとWASMで開発されKubernetesで実装されたデータストリームシステムFluvioを紹介
2022年12月23日 6:00
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
