オープンソースソフトのセキュリティ強化へ　CISAがロードマップ発表

　相次ぐオープンソースソフト（OSS）のセキュリティ問題で、官民を挙げた対策が進められている。米国土安全保障省のセキュリティ対策機関CISA（サイバーセキュリティ・社会基盤安全保障庁）がセキュリティのロードマップ「CISA Open Source Software Security Roadmap」を発表した。OSSエコシステムの強化やセキュリティへの取り組み支援などの重点支援策をまとめたものだ。

米国政府が重視するOSSのセキュリティ

　ロードマップは、9月12、13日にワシントンD.C.で開催された「Secure Open Source Software Summit」にあわせて発表された。サミットは、オープンソースのセキュリティに取り組む非営利団体OpenSSF（Linux Foundation傘下）が主催したものだ。

　サミットには、大統領府、国防総省、CISA、国立科学財団などの政府関係者、Amazon、Appleなどの大手ハイテク、JP Morgan Chaseなど20社以上の超大型企業が参加し、この分野への関心の高さを見せた。

　Baiden政権は2021年5月にサイバーセキュリティ強化の大統領令を出している。サイバー空間では国家間のし烈な戦いが繰り広げられており、政府機関のシステムで稼働しているOSSの脆弱性は極めて重要な問題だ。

　セキュリティロードマップは、OSSの安全性を確保するための重要な優先事項を示し、政府の重要インフラを守ることを目指す。2024年～2026年の今後3年間の目標として、以下の4項目を掲げている。

1）オープンソースソフトウェア（OSS）の安全性支援でのCISAの役割確立
2）OSSの使用状況とリスクの可視化
3）連邦政府に対するリスクの低減
4）OSSエコシステムの強化

　「全ての重要なOSSプロジェクトが、安全であるだけでなく、持続性と耐性があり、健康的で多様で活発なコミュニティの支えがある世界を描いている。この世界において、OSS開発者は自分たちのソフトウェアをできる限り安全にするよう力を与えられる」と記している。

　また、CISAは、組織がOSSコンポーネントのリスクの優先順位付けに利用できるフレームワーク開発や、国際的なパートナーとの協力を拡大する計画も立てているという。