「オープンソースソフトウエアの脆弱性情報管理に関する戦略策定」に関連した成果普及 (令和元年度 イノベーション戦略策定事業)

1.イノベーション戦略策定事業の対象テーマ名(実施年度)

オープンソースソフトウエアの脆弱性情報管理に関する戦略策定(令和元年度)
委託先:(一社)ソフトウェア協会

2.事業実施後の成果普及

 ソフトウェア協会においては、本事業の成果に基づき、令和3年4月、協会内のSoftware ISACにセキュリティ関連事業を一本化し、セキュリティに係る政府機関における動向や脅威情報などの共有を行うとともに、Software ISAC下の各委員会・研究会にて、情報発信・勉強会開催・ガイドライン等のコンテンツ作成・更新等を実施中です。
 また、経済産業省からの依頼に基づきSBOM(Software Bill of Materials)に係る実証実験、必要に応じ意見の申し入れを実施しています。
 この他、Software ISACが立ち上げたサイバーセキュリティボランティア制度(インシデント発生時にサイバーセキュリティの専門家をISACから派遣する制度)では、支援第一弾の活動として、令和3年にランサムウェアに感染した徳島県のつるぎ町立半田病院へ派遣を実施しました。

3.イノベーション戦略策定事業の実施概要

目的

 昨今のソフトウェアの開発においては、オープンソースソフトウェア(OSS)を用いることがほとんどです。そのため、情報セキュリティ対策の面においても、OSSに着目して、ソフトウェアのサプライチェーン全体のセキュリティ対策を行う必要があります。
 このため、ソフトウェアISAC(Information Sharing and Analysis Center)の事業化に向けて、OSSの脆弱性情報管理に関する戦略を策定しました。

事業概要

 コンピュータソフトウェア協会に産学官の専門家から成る戦略策定委員会を設置し、ソフトウェア開発におけるOSSの利用状況を調査して、その現状及びソフトウェアISACの必要性を明らかにするとともに、脆弱性情報管理に必要なデータベース及びポータルの設計(要件定義)を行いました。その主要な成果は次の通りです。

①OSSの利用状況に係るヒアリング調査
 我が国のソフトウェア開発事業者21社からヒアリング調査を行い、次のことなどが分かりました。
 ⅰ)ソフトウェア開発に当たっては、約7割の事業者が外部委託を行っており、約8割がOSSを使用している。
 ⅱ)バイナリ納品の割合が高く(ソースコード納品が約3割、バイナリ納品が約7割)、SBOM(Software Bill of Material)に代表されるコンポーネント管理が適切に行われていない。(注:バイナリは1,0の機械語のプログラムで、人が読めない。SBOMは部品の管理表。)
 ⅲ)PSIRT(Product Security Incident Response Team)が必要との認識は高まっているが、「ヒト」の問題があってPSIRTを構築している社は少ない(14%)。

 このように、我が国のソフトウェア開発においては脆弱性管理が十分ではなく、エンジニア個人での管理、企業の努力のみに任せていてはサプライチェーンの根本的な問題が残り、ソフトウェアISACが個々の企業を支援する必要性が明らかになりました。

②ソフトウェアISACの情報システムの設計(要件定義)
 OSSの脆弱性情報については、国内では(独法)情報処理推進機構(IPA)や(一社)JPCERTコーディネーションセンターが、国際的には米国国立標準技術研究所(NIST)などがインターネット上に公開していますが、情報が膨大なため、ソフトウェアISACにおいて、トリアージ情報とともに脆弱性管理データベースで管理する必要があります。また、ソフトウェアISACの利用企業(ソフトウェア開発を行う企業)に対して、プロジェクト管理やアカウント管理などができるように、ポータルを用意する必要もあります。
 これらの情報システムは、特に高いセキュリティレベルにして、ソフトウェアの開発への攻撃から防御する必要がありますし、ソフトウェア開発のサプライチェーン全体を通じた脆弱性管理のために、発注企業と受注企業との連携を可能にすることなども大切になります。このため、戦略策定委員会において、これらの情報システムのあり方を検討するとともに、その検討を踏まえた要件定義書を外注により作成しました。

③OSS対応に関するソフトウェアISACの戦略策定
 現在、コンピュータソフトウェア協会にソフトウェアISACの組織(その中のタスクフォースが今回のプロジェクトを実施)が構築されており、その今後の活動のあり方をソフトウェアISACの戦略として取りまとめました。その中で、脆弱性管理の情報システムの構築・運用のみならず、セキュリティテストを行う脆弱性検証センターを整備することや、コンポーネント管理の重要性をソフトウェア業界に情報発信する重要性も記述しました。

4.お問い合わせ先

[1] 本事業の報告書の提供をご希望の方は、以下の資料送付申し込みページからお申し込みください。
https://www.mssf.or.jp/contact/#request

[2] 本件に関するお問い合わせは、以下のお問い合わせフォームからお願い申し上げます。
https://www.mssf.or.jp/contact/#inquiry

ホーム