サイバートラスト(株)オープンプラットフォーム事業本部 / OSPO、および The Linux Foundation Japan Evangelist の池田です。
先週、12/8〜10 には年末恒例の Open Source Summit Japan (OSSJ) が開催されました。毎年 OSSJ が終わると「今年も年末だな〜」という思いを強く持ちます。2025年も色々なことがありました。その中でも、10月に大阪で開催された「LF Japan Community Days」は日本の OSS コミュニティにとってトピックの一つだったと感じています。ここではこの一年の振り返りに代えて、この LF Japan Community Days の特に「Security Track」を振り返ってみたいと思います。
LF Japan Community Days
LF Japan Community Days は「Meetup の Meetup」という位置づけで、いつもはテーマごとに分かれて開催されている Meetup を一か所に集める形で 10/21〜22 に開催されました。クロスコミュニティのイベントにすることで、普段とは違う分野の方々とのコラボレーション促進も狙いの一つです。コラボレーションの障壁はテーマだけではなく、地理的なものもあります。The Linux Foundation Japan のイベントはこれまで関東地方でしか開催してこなかったのですが、日本のコミュニティ参加者は東京だけにいるわけではありません。東京以外の方々ともコラボレーションの輪を拡げよう!ということで、LF Japan Community Days は The Linux Foundation Japan が関東以外で開催する初のイベントとして、大阪は心斎橋での開催と相成りました。
参加者からは、普段あまり参加しないテーマの最新のお話しが聞けてよかったという声も聞きました。参加者も100名を優に超え、大成功だったのではないかと感じています。
筆者を含む OpenSSF Japan Chapter のメンバーは、そのなかで「Security Track」を主催しました。Security Track は2日目のブレークアウトセッションの一トラックとして定員50名の部屋で開催し、立ち見が出るほどの大盛況でした。参加していただいた方々、本当にありがとうございました。盛沢山の内容だったのでここに全て記すことはできないのですが、Security Track のトピックとしてお知らせしたい2つのコーナーを、涙ながらに厳選して振り返りたいと思います。
サプライチェーン全体でのサイバーセキュリティ対策強化に向けた経済産業省の取組
Security Track の皮切りは、経済産業省 商務情報政策局 サイバーセキュリティ課 の大久保 佐太郎氏から「サプライチェーン全体でのサイバーセキュリティ対策強化に向けた経済産業省の取組」と題して、経済産業省がサイバーセキュリティ、わけてもサプライチェーンセキュリティに対してどういった取組を行っているかのご紹介を頂きました。
昨今、誰もが知る大企業のサイバー攻撃による被害が多く報道されていますが、統計によるとランサムウェア攻撃の 64% は中小企業を標的にしているとのこと。企業の規模からみてサイバーセキュリティ対策がどうしても後手に回り勝ちな中小企業を標的とすることで、取引先の大企業も含むサプライチェーン全体を攻撃の範囲として狙っているものと思われます。このような状況に対して経産省では「サプライチェーン強化に向けたセキュリティ対策評価制度(SC対策評価制度)」を検討中とのこと。2025年7月に制度の概要についての中間とりまとめを公表し、今後具体化した上で2026年度中の制度開始を目指しているそうです。
そうはいっても対策には人とお金が...というのが実情だと思います。そんな企業を支援するため、「サイバーセキュリティお助け隊サービス」というものがあるとのこと。サイバーセキュリティ対策のための見守り、駆付け、保険をワンパッケージで安価に提供するサービスを建てつけたとのことで、政府からの IT 補助金(セキュリティ対策推進枠)も利用可能とのことです。IPA のページ に詳細があるので、お困りの方は検討してみてはいかがでしょうか。
なおこのセッションではその他にも色々と有用な情報・メッセージがありました。大変興味深い内容なので、LF Japan Community Days のページ にある資料リンクからご覧いただければと思います。
自己紹介によると、大久保氏は民間から経済産業省へ転職された経歴をお持ちとのこと。また、ご自身のデジタル経歴は PC-9801とFM-TOWNS、その後Windwos3.1、95、98 とのこと。インターネット老人会に片足(首までどっぷり?)突っ込んだ筆者としては、もうこの時点で親近感がダダ洩れなのでした。大久保さん、お話しを頂き本当にありがとうございました。
Table Top Exercise 日本語版
OpenSSF のグローバルイベントは、毎回必ず「OpenSSF Table Top Exercise (TTX)」で締めくくられます。TTX とは机上演習のことで、何を演習するのかというとここではサイバーセキュリティインシデントへの対応を演習します。
架空の「Fluffernutter」という OSS にバックドアが仕込まれていることが発見されたという筋書きで、バックドアが発見された Day 1、情報が拡散し始めた Day 3、OSS PJ から対策パッチがリリースされた Day 7 のそれぞれのタイミングにおいて、ステークホルダに扮した壇上の5人がそこで何を行うべきか意見を述べ合います。5人とは、Fluffernutter を利用してビジネスを行っている企業である「ドデカイ・システムズ」の CISO (Chief Information Security Officer)と OSPO (Open Source Program Office)、ドデカイ社の顧客、Fluffernutter の開発者、それとバックドアを検知したリサーチャーです。
この TTX、グローバルイベントでは当然英語で行われます。日本では今年6月の OpenSSF Community Day でも開催したのですが、壇上のメンバもなかなか言いたいことが言えずもやもやした感じがありました。今回はせっかくの国内イベントなので日本語でバリバリ意見を言いたい!オフレコの不規則発言をしたい!(私見です)という要望が(主に筆者から)あり、この度説明スライドを日本語化して「TTX 日本語版」として開催しました。おそらくですがこれは世界で初めて英語以外で開催された OpenSSF TTX になったのではないかと思われます。
TTX で話されることは全てアドリブです。CISO は「OSPO が Fluffernutter を支援するって言ってたよね?」と言うと、OSPO は「その予算を却下したじゃないですか!」と応酬します。顧客は「バックドア?脆弱性?なんだか知らないけど早く復旧してよ!」とドデカイ社の二人に詰め寄ります。会場からは「大阪電脳新聞の記者です。ドデカイ社はどう責任を取るつもりですか?」と容赦ない質問が飛んできます。こうした混沌とした状況の中で、5人は最善の策を考え提案します。その中で、OSS のインシデント対応に必要なこととは何か(これにはインシデントを起こさないための事前の対策も含まれます)、会場のみなさんと一緒に学びます。
なにしろ筋書がないので、毎回新しい発見があります。今回は、OSS を利用する企業は開発コミュニティと普段からコミュニケーションし、コミュニケーションパスとプロトコルを整備しておくことの重要性が浮き彫りとなりました。これはドデカイ社 CISO の「OSS コミュニティと協力して対処します」という発言に対して開発者役のやまねさん(サイオステクノロジー/Debian Project)からあった「え。ドデカイ社から特に連絡はないですけど」というファインプレー発言であぶりだされたものです。
TTX は今後も機会があるたび、いや機会がなくても無理くり開催していきたいと思います。英語版資料はどんどん更新されていくので、筆者がこれに追従したアップデートを随時行っていきます。
最後に、TTX の開催で一番苦労するのは、実は壇上のメンバー集めだったりします。今回は CISO にホンダの清海さん、OSPO にルネサスの余保さん、顧客に同じくルネサスの佐藤さん、リサーチャーに日立の川名さん、そして OSS 開発者に前述のサイオス/Debian のやまねさんという布陣で挑みました。みなさま、そして会場で参加いただいたみなさまも、ありがとうございました。
みなさん、今後「OpenSSF TTX」という文言を見かけたらぜひともご参加ください。いや、次はあなたが壇上にいるかも!?
最後に
OpenSSF Japan Chapter は、今後も2〜3ヶ月に一度、不定期ではありますが Meetup を開催し、OSS セキュリティの底上げを図っていきます。こちらもいまのところ東京近辺でしか開催したことがないのですが、関西以西の方からの参加があれば、そちらで開催するのも面白いと思います。ぜひともご参加いただき、2026年もセキュリティの向上に邁進してまいりましょう!