CISA Open Source Software Security Roadmapについての解説

CISAがOpen Source Software Security Roadmapを出しました。今回はこちらの解説を行います。

ざっくりとまとめると、CISAがOSSセキュリティに関してFY24-26で下記のObjective(目的)を立てて実施していきます、というお話です。ツールキットやベストプラクティスの開発と公開、OSSコミュニティとの連携・協力などについて触れられています。

Objective 1: OSSのセキュリティのサポートにおけるCISAの役割を確立する
Objective 2: OSSの使用状況とリスクを可視化する
Objective 3: 連邦政府のリスク削減に取り組む
Objective 4: OSSエコシステムの強化

以下、原文のPDFを簡易翻訳して纏めたものになります。

(2023/09/14追記：早速、OpenSSFからOpen Source Software Security Roadmapについてのブログが出ています。

CISA Open Source Software Security Roadmapについて

合衆国政府期間や重要なインフラ、州・地方政府などは現在Open Source Software(以下OSS)に大きく依存しています(調査によるとコードベースで96%がOSSコードを含んでいた様です)。従って、OSSを理解し保護することが重要になってきます。CISAは、OSSの開発とコミュニティサポートがもたらす利点を念頭に置いて、連邦政府の内外でOSSの安全な使用と開発を可能にするため、以下の4つの重要な目標に重点を置いてロードマップを作成しています。

“OSSのセキュリティを確保するサポート”に対してのCISAの役割の確立
主要なOSSの依存関係の理解
連邦政府へのリスクの軽減
より広範囲なセキュリティ強化のOSSエコシステム

脅威モデル

OSSのセキュリティのために、CISAでは2種類の異なるOSS脆弱性と攻撃の関係を懸念しています。

広く使用されているOSSにおける脆弱性の連鎖的影響(cascading effects)2021年のLog4Shell脆弱性で示された様に、OSSが普及していることから脆弱性が広範囲に影響を与える可能性があります。連邦政府や重要インフラにOSSが多く使われていることを考えると、これはCISAが軽減すべきリスクになるでしょう。したがって、CISAは悪用可能な脆弱性が広がることを減らし、脆弱性が発生した場合の対応を支援する様な貢献を行う必要があります。
OSSレポジトリに対するサプライチェーン攻撃によるダウンストリームソフトウェアの侵害2番目のリスクとしては、ダウンストリームを侵害するためOSSコンポーネントに悪意を持って侵害を行うことです。具体的には、攻撃者が開発者のアカウントを侵害して悪意の有るコードをコミットしたり、攻撃者が意図的に開発パッケージにバックドアを仕込んだソースをコミットするようなことです。

Strategic Alignment(戦略的連携)

このOSSロードマップは米国の国家サイバーセキュリティ戦略に沿ったものであり、連邦政府が「インターネットエコシステムのセキュリティを向上させるソリューションの開発と導入を促進する」と述べた戦略目標 4.1 と、連邦政府が「インターネットエコシステムのセキュリティを向上させるソリューションの開発と導入を促進する」と述べた戦略目標 3.3 が含まれています。

FY24-26のOpen Source ゴールとObjective

以下、Objectiveになります。

Objective 1: OSSのセキュリティのサポートにおけるCISAの役割を確立する

CISAがOSSコミュニティとの協力関係を成熟させることは、連邦政府や重要インフラに対するリスクの特定と軽減のために重要になります。CISAはOSSコミュニティが既にセキュリティに焦点を当てて多くの取り組みを行っていることを認識しています。CISAは、連邦政府の権限と能力を活用して、これらの取り組みと連携し強化するよう努めていきます。

Objective 1.1 OSSコミュニティとパートナー関係を築く
- CISAはOSSコミュニティのメンバーとして、OSSコミュニティと協力して活動していきます。CISAはOSSコミュニティメンバー（OSS foundationやコミュニティ組織、コードホスティングサービス、パッケージマネージャを含む）とのリアルタイムコラボレーションチャネルを確立します。CISAはまた、OSSセキュリティに関する関連ワーキンググループに参加することで、OSSのセキュリティと回復力を強化する広範な取り組みにも貢献していきます。さらに、CISAは産業用制御システム(ICS)製品に置いてOSSコンポーネントが現在果している役割をより理解し、メンテナンスとセキュリティ向上のために、産業界／OSSコミュニティ／政府機関との継続的な共同計画への取り組みを継続していきます。
Objective 1.2 集中管理されたOSSエンティティによる集団的な行動を奨励
- パッケージマネージャやホスティングサービス等の集中管理されたOSSエンティティがシステム全体のセキュリティ向上の推進に役立つことを認識し、CISAはこれらのエンティティの集団的な行動を奨励します。CISAはOSSエコシステム内のパッケージマネージャ及びその他の集中プラットフォームのセキュリティ原則を開発するために協力し、これらの集中化によるセキュリティ保護に関連したワーキンググループに参加します。
Objective 1.3 国際的なパートナーとのコラボレーション拡大
- OSSは公共のものであり、世界中の政府や民間組織に利益をもたらしています。このため、連邦政府が国際的なパートナーや同盟国と連携してOSSのセキュリティと回復力を強化することが重要になります。CISAは国際的なパートナーや同盟国との連携を実施し、このロードマップに定められた実践の採用など、共通の利益分野で協力する機会を作っていきます。
Objective 1.4 CISAのOSSに対する取り組みを確立して組織化する
- CISAは、このロードマップに記載されたOSSへの取り組みを実行できるように組織化し、CISA Open Source Software Security Working Groupを設立します。

Objective 2: OSSの使用状況とリスクを可視化する

CISAは連邦政府や重要なインフラにとってOSSの依存関係がどこに有るのかを理解することで、OSSエコシステムのセキュリティを最適にサポートしていきます。そのため、CISAでは連邦政府及び重要なインフラ全体に渡って使われている最も重要なOSライブラリ類を特定していきます。CISAはこの情報を利用してリスク緩和・軽減のための優先順位を付けていきます。

Objective 2.1 OSSソフトウェアの普及状況を理解する
- CISAは連邦政府におけるOSSソフトウェアの普及状況を評価する方法を開発し、連邦政府及び重要なインフラのパートナーと協力して、OSSソフトウェアの普及に関するCISAの認識を向上させます。連邦政府の場合には、CISAの継続的診断及び軽減(Continuous Diagnostics and Mitigation: CDM)プログラムなどのデータソースからのデータ集約が含まれています。運用技術(OT)やICSなどにおいては、コンポーネント評価能力の工場に努めていきます。
Objective 2.2 OSSリスク優先順位付けフレームワークの開発
- CISAは2.1で見つかったOSSコンポーネントについてリスク優先順位付けを行うためのフレームワークを開発します。このフレームワークはOSSコンポーネントの使用レベル・メンテナンスのレベル・ビルドプロセスのセキュリティ・メモリの安全性などのコードセキュリティなどに関して、重要性の基準や優先順位付けを推奨してくれる様なものを想定しています。このフレームワークは可能な限り既存の成果を活用し、一般に公開される予定です。このフレームワークは、次のようなコンポーネントなどOSSコンポーネントの様々な分類を識別できる様な物になります：
  1. 使用状況と既存のサポートを考慮し、連邦政府が直接サポートする必要が有るもの
  2. 悪意の有るものであり、連邦政府では使用を停止する必要が有るもの
  3. サポートが充実しており、連邦政府で引き続き使用できるもの
Objective 2.3 連邦政府および重要インフラでの、OSSプロジェクトのリスク情報に基づいた優先順位付けの実施
- CISAは上記フレームワークを2.1で特定したOSSに適用し、連邦政府及び重要なインフラにおけるOSSの、リスクに基づいた優先順位付けを作成します。2.2で説明されているように、様々なカテゴリにグループ化される場合があります。CISAはこのリストを使用して、OSSへの取り組みが最も重要かつ関連性の高いものに焦点を当てていることを確認し、使用されているOSSに存在する脆弱性をさらに理解する予定です。
Objective 2.4 重要なOSS依存関係に対する脅威の理解
- CISAは2.3で生成された優先順位付けリストを含む、重要なOSS依存関係に対する脅威の評価プロセスを開発します。関係した場合、CISAは主要なOS依存関係のターゲットに関するアラートを公開します。

Objective 3: 連邦政府のリスク削減

この目標は、連邦政府によるOS使用を保護することに焦点を当てています。連邦政府も企業と同様に、依存しているOSSに貢献する手段を確立する必要があります。

Objective 3.1 OSSの安全な使用を支援するソリューションの評価
- CISAは連邦政府機関がOSS管理に関するギャップに対処するのを支援するために、機能やサービスに対する実現可能性と有効性を評価します。OSSリスクを評価するためのCI/CDプロセスに統合されるツール(脆弱性や古い依存関係にフラグをつけるなど)や、OSSの依存関係へのサポートを用意にするツールなどが含まれます。
Objective 3.2 連邦政府機関向けのOpen Source Proguram Office Guidanceの作成
- オープンソースプログラムオフィス (OSPO)は、OSSの責任ある使用のサポートやOSSへの貢献の促進など、組織のOSS運用を管理する方法として登場しました。CISAはOSPOの導入を希望する機関向けにベストプラクティスガイダンスを作成します。
Objective 3.3 OSSセキュリティにおける連邦政府のアクションの優先順位付け推進
- 国家サイバー局長室 (ONCD)は、OSSのセキュリティを強化するために政府の政策とリソースを推進することを目的としてOpen Source Software Initiative: OS3Iを設立しました。CISAはONCD及びパートナーと協力して、OSSのセキュリティとレジリエンス強化のためにOS3Iに貢献していきます。 CISAは、OS3Iを通じて、OSSエコシステムのセキュリティとレジリエンスを促進する連邦措置の優先順位付けを推進します。CISA、ONCD、米国科学財団(NSF)、国防高等研究計画局(DARPA)、管理予算局(OMB)は、OSSのセキュリティとメモリセーフなプログラミング言語に関する情報要求(RFI)を公開することでこの取り組みを開始しました。RFIを受けて、報告書の発行に取り組む予定です。

Objective 4: OSSエコシステムの強化

OSSの公益的な性質と、より広範なOSSエコシステムの保護が連邦政府と重要インフラのセキュリティとレジリエンスを高めていくことを認識し、CISAはより広範なOSSエコシステムの強化を推進していきます。この取り組みは、Objective 2で特定されたOSSコンポーネントに焦点を当てています。

Objective 4.1 OSSサプライチェーン内でのSBOMの推進
- CISAはSBOM標準化を推進する取り組みの継続に加え、OSSエコシステム内での要件・課題・機会にも焦点を当てます。
Objective 4.2 OSS開発者向けのセキュリティ教育の推進
- NSFを含む連邦機関と連携して、CISAはOSSエコシステム開発者に対するセキュリティ教育をサポートします。この取り組みの一巻として、CISAはOSSコミュニティと競技し、OSSセキュリティのベストプラクティスとリソースを集めた、OSSセキュリティツールキットを公開します。これには、安全なソフトウェア開発と脆弱性開示に関するリソースを備えたOSS保守向けのツールキットが含まれます。
Objective 4.3 OSSの安全な使用のベストプラクティスに関するガイダンスの公開
- CISAは、連邦機関と重要インフラ組織、SLTTなどに向けてOSSを安全に組み込むためのベストプラクティスを公開します。これにはOSSを責任を持って使用する方法のガイダンスの他、OSSの基本を理解するためのリソース、OSSが重要なインフラにどの様に貢献するかについての説明、及びOSSセキュリティの基本が含まれます。
Objective 4.4 OSSの脆弱性の開示と対応の促進
- CISAは、OSS コミュニティとの関係を活用して、脆弱性の開示とOSSの脆弱性への対応を引き続き調整していきます。

まとめ

CISAがOSSセキュリティのロードマップを策定したことにより、関係する団体とCISAによる連携プロジェクトやその結果などが近々見えてくると思います。今後もCISAとOSSセキュリティ関連の動きは注目していったほうが良いでしょう。

参考文献

CISA Open Source Security Roadmap

CISA Open Sourec Security Roadmap(PDF)