OSSのセキュリティリスクにはどう向き合う？ 「Log4Shell」脆弱性から学ぶ取り組み

Log4ShellをきっかけにOSSへの貢献は増えている?

　本連載の前回の記事でも紹介したように、2021年12月に公になったApache Log4jの一連の脆弱性問題に絡み、米ホワイトハウスは2022年1月13日にオープンソースソフトウェア（以降OSS）のセキュリティについて議論する会合を開きました。この会合にはApache Software Foundation（以降ASF）、Google、Apple、Amazonなど、IT系の主要な企業や組織から関係者が参加し、会合後には参加者から官民の連携や重要なオープンソース資産の特定などが呼び掛けられました。

　その約1カ月後となる2月8日には米上院で「Responding to and Learning from the Log4Shell Vulnerability（Log4Shell脆弱性への対応および同事例からの学び）」と題する公聴会が開かれ、ASFなどから証人が招かれました。今回はこの公聴会の内容を簡単に紹介します。

この公聴会に招かれた証人は以下の4名です。

• David Nalley
  President
  Apache Software Foundation
  
• Brad Arkin
  Senior Vice President and Chief Security and Trust Officer
  Cisco Systems, Inc.
  
• Jen Miller-Osborn
  Deputy Director of Threat Intelligence, Unit 42
  Palo Alto Networks
  
• Trey Herr, PH.D.
  Director, Cyber Statecraft Initiative
  Scowcroft Center for Strategy and Security
  The Atlantic Council（ワシントンDCに本部を置く無党派のシンクタンク）

　今回の公聴会は米上院国土安全保障・政府問題委員会（Senate Homeland Security and Governmental Affairs Committee）が開いたもので、委員長のGary Peters上院議員（民主党、ミシガン州選出）の司会進行の下で進められました。

　まず、冒頭で委員会の幹部メンバー（ranking member）であるRob Portman上院議員（共和党、オハイオ州選出）はOSSの深刻な脆弱性がもたらすリスクを説明し、その際に過去の2つの事例を紹介しました。1つ目は2014年に公になったSSL/TLSライブラリOpenSSLの脆弱性「Heartbleed」。2つ目は2017年に米信用情報機関大手であるEquifaxから1億4700万人の個人情報を漏えいさせるきっかけとなったApache Strutsの脆弱性です。これはすなわち、Log4jの今回の脆弱性を過去のこれらの脆弱性と同等（もしくはそれ以上）に深刻なものと捉えているということでしょう。その上で今回の公聴会の目的について以下のように述べています。

オープンソースソフトウェアは、私たちが日々使用しているソフトウェアのあらゆる部分に密接に組み込まれています。この問題に対する答えは使用をやめることではありません。また一方で、この公聴会を通じて、既存のプロセス内で機能しているオープンソース製品のセキュリティリスクに対処し、オープンソースコミュニティを支援するために時間と資金を戦略的に投資する方法を理解できると考えています。オープンソースソフトウェアのリスクとメリット、およびオープンソースのセキュリティを強化する取り組みに対する支援において連邦政府が果たすべき役割について、より深く理解した上で今回の公聴会を終えられることを期待しています。

　ここから証人の発言になるわけですが、やはり注目すべきは「当事者」であるASF代表のDavid Nalley氏の発言です。Nalley氏は今回の脆弱性が2021年11月下旬にLog4jの開発チームに報告されてからの対応内容を紹介し、その対応が十分に迅速かつ適切だったことを説明しました。彼のその他の発言の中でメディアが注目したのは主に以下の4点です。

• Log4jの偏在性を考えると、脆弱性を完全に排除するためには数カ月、あるいは数年かかる可能性がある。
• 現在市販されている自動化されたツールでLog4jの脆弱性を公表前に、また、つい最近であっても、見つけられるものはないだろう。
• ソフトウェア業界の全ての関係者、特に連邦政府と主要顧客は、サプライチェーンのセキュリティに投資すべきである。
• 法律で脆弱性を防ぐことはできないが、ソフトウェア部品表（SBOM:Software Bill Of Materials）のような取り組みによって脆弱である可能性があるソフトウェアの特定を早めることで（同様の脆弱性の）影響を軽減することはできる。

　Nalley氏以外の発言で注目されたのは、委員会メンバーであるAlex Padilla上院議員（民主党、カリフォルニア州選出）からの懸念です。上記の「投資」の件にも関連しますが、同議員は大企業がオープンソースの貢献者から利益を得ながら、見返りとして報酬をほとんど払わない「フリーライダー（タダ乗り）」の問題があるのではないかとの疑問を投げかけました。しかし、この懸念に対してNalley氏は別の見方をしており、まずASFは広く使われるフリーソフトウェアを作ることを使命と考えており、ユーザーが自ら望まない支援を強制するつもりは全くないとした上で、以下のように述べています。

啓発された利己心（enlightened self-interest：他者の利益のために行動することが最終的に自分自身の利益に繋がるとする考え方）によって業界は貢献をし始めるだろうと私たちは信じていますし、実際にこの期待に応えるように、Log4jや他の多くのオープンソースプロジェクトにおいて、セキュリティや監査、コード検証に関する貢献が大幅に増加しているのを目にしています。

　このNalley氏の発言を受けて、Cisco SystemsのBrad Arkin氏は、リソースのあるユーザーはオープンソースプロジェクトを自分たちの利益になる方向に導くために自己利益からプロジェクトに参加する可能性が高いと付け加えています。一方、The Atlantic CouncilのTrey Herr氏は、最大のフリーローダー（たかり屋）はこの公聴会の最も近くにいると指摘しています。

　他の証人の発言でメディアが注目したものとして、The Atlantic CouncilのHerr氏は、連邦政府内に「オープンソース専用のセキュリティ組織（＝コミュニティに対する窓口となりうる組織）」を立ち上げることを検討するように委員会に助言しました。さらに、米国政府に対してオープンソースコミュニティのより良いパートナーになり、共有インフラに投資することを提言しています。

　一方、Palo Alto NetworksのJen Miller-Osborn氏は、CISAによるJCDC（Joint Cyber Defense Collaborative）の取り組みが今回の件で意図した通りに機能したことを称賛しています。JCDCは官民連携を目的に2021年8月に始まった取り組みで、Amazon Web Services、AT&T、CrowdStrike、FireEye Mandiant、Google Cloud、Lumen、Microsoft、Palo Alto Networks、Verizonといった企業が参加しています。

　今回の公聴会の内容そのものに驚くほど斬新なアイデアや提言などは見られませんでしたが、それでも、ASF代表のNalley氏による「貢献者が増えている」との発言には希望の光を大いに感じます。また、この公聴会と直接の関係はありませんが、米国防総省はOSSを優先的に調達する方針を明らかにするとともに、国防総省が用いるOSSの開発に同省の職員が参加することは政府の利益になり、政府資源の正当な使用であると明言しています。OSSを取り巻く状況は大きく変わっていくのかもしれません。

　いずれにせよ、オープンソースプロジェクトに対する貢献の増加が一時的なもので終わることなく、「貢献が当たり前」な世界になることを願ってやみません。今後に大いに期待しています。