全2209文字
PR

 グーグルによるもう1つの取り組みは「Assured Open Source Software(OSS)」で、2022年5月18日に発表した。これは様々なOSSに関して、グーグルが脆弱性の分析やセキュリティーテストなどを実行した検証済みのパッケージを、Google Cloudの顧客に対して提供するものだ。

 最近は「Log4j」などのOSSに存在するセキュリティー脆弱性を狙ったサイバー攻撃が増加している。ユーザー企業はセキュリティー脆弱性が更新された最新のOSSパッケージを使用するのが望ましいが、ユーザー企業がOSSのチェックなどをするのは難しい。特に、あるOSSコミュニティーが開発するOSSパッケージの中に、他のOSSコミュニティーが開発したライブラリーなどが組み込まれている場合、依存性のチェックなどが面倒だ。

 Assured OSSはこうしたOSSのセキュリティーチェックをグーグルが行うものになる。これまでもグーグルは社内の開発者に対して、セキュリティーチームがチェック済みのOSSパッケージを提供してきたのだという。それをGoogle Cloudの顧客にも広げる。サービスの開始時期は2022年下半期だ。

サプライチェーン攻撃を防ぐ

 AMDとの連携とAssured OSSの共通点は、グーグルが社外で開発されたソースコードを自らの手で厳重にチェックし始めたという点だ。現在のITインフラストラクチャーは、非常に多くの組織が開発した様々なソフトウエアによって成り立っている。その1つに脆弱性があったり、バックドアが仕掛けられたりするだけで、ITインフラ全体が危険にさらされかねない。いわゆる「サプライチェーン攻撃」である。

 グーグルによるAMDのファームウエアやOSSのセキュリティーチェックは、サプライチェーン攻撃を防ぐという点で、非常に重要な取り組みである。