概要
OpenChainプロジェクトが2022年にリリースしたOpenChain Security Assurance Specification 1.1は、国際規格のISO/IEC 18974として承認され、2024年1月に刊行される予定です。
ISO/IEC 18974はOpenChain 2.1 (ISO/IEC 5230:2020) と関連して、OSSを使用する組織がセキュリティを保証するために満たすべき要件などを定義するものです。
内容については昨年のAdvent Calendarで浅羽さんが書いてますのでそちらもご参照ください。
3章構成で、1章は仕様の範囲、2章は用語の定義など。
3章に要件が記載され、おおむね下記のような構成になっています。
- OSSセキュリティ保証に関するポリシーや、組織内での役割・責任などに関するもの
- OSSのライフサイクル全体にわたる継続的な記録 (SBOM管理) や脆弱性の検出・解決手順の明確化、脆弱性への対応と対応内容の追跡などを求めるもの
- セキュリティ保証の関連業務を定義することや、外部からの問合せの受付、十分なリソースの確保を求めるもの
- セキュリティ保証に関する取組みを定期的に見直すこと
また、これら要件を満たしているかを確認するためのセルフ チェックリストが別途あります。ISO/IEC 5230:2020と同様に自己認証が可能です。
セルフ チェックリストを眺めてみると、たとえば「OSSのセキュリティ ポリシーを文書化すること」や、「関連する役割を特定すること」のように、セキュリティ ポリシーの中身や関連する役割の具体例などは示されておらず、それらを定義しているかどうかを確認しています。あくまでOSSをセキュアに扱う組織を構築するための要件にとどまっているので、ではいざセキュリティ ポリシーを策定しようとしたときにはあまり役に立たないかもしれません。
また、例えばこの取り組みの実施を監査する仕組みや、具体的なOSSの脆弱性の監視手順や対応方法なども提供されません。
なぜこれが必要か?
企業が販売する製品やサービスにおいてOSSが扱われるのが一般的になる中で、OSSのセキュリティ対策も欠かせないです。企業は自身の製品やサービスを安全に保ち続けることに対して責任を求められますが、OSSに対するセキュリティ保証のプロセスを独自に構築してしまうと、対外的にそのプロセスがどのくらい妥当なのか?を示しづらくなります。
標準規格であるISO/IEC 18974を採用し、OSSのセキュリティ保証のプロセスを構築することで、企業はOSSをセキュアに保つための取組みをしているということを対外的に示すことができるようになります。
またISO/IEC 18974の内容自体が、そうした組織をどのように構築すべきなのか、といった指針を示すものになるため、今後OSSを利用することを検討している企業にとっても役立ちます。
まとめると、これが何に役立ち、何ができないか?
- 企業として採用すると、OSSをセキュアに扱っているということを対外的に示せる
- 扱っているOSSをセキュアに保つための組織づくりの指針になる
- セキュリティ ポリシーの作成方法や関連する役割の具体的な例は提示されない
- 具体的なOSSの脆弱性監視の手順、対応方法は提示されていない