オープンソースソフトウェアの脆弱性情報管理に関する戦略策定事業
一般財団法人機械システム振興協会が公募した「平成31年度イノベーション戦略策定事業」において、「オープンソースソフトウェアの脆弱性情報管理に関する戦略策定」事業を受託し、CSAJ内に戦略策定委員会を組織し、具体的な検討を行いました。
オープンソースソフトウェアの脆弱性情報管理に関する戦略策定報告書
| 作成 | 一般財団法人機械システム振興協会 |  報告書ヒヤリング部分抜粋PDF |
|---|---|---|
| 委託先 | 一般社団法人コンピュータソフトウェア協会 | |
| 目次 | 〔事業概要〕 〔本編〕 |
(1)本事業の目的
第4次産業革命と言われる時代において、産業界が提供する製品やサービスも目覚ましく進化している。作成される製品やサービスには多数のソフトウェアが組み込まれており、開発するソフトウェアには多くの「オープンソースソフトウェア(以下、OSSという)」が利用されている。
特に、パッケージソフトウェアの開発においては、OSSを使用して開発することが主流になっていることから、ソフトウェアのサプライチェーンの中でのOSSの使用状況を把握することにより、効率的なISACサービスが可能になることが指摘されている。本事業により、①国内におけるOSS活用状況をできる限り可視化し、②関連する脆弱性をより効率的に収集する手法を検討し、③開発された製品やサービスの脆弱性管理をより容易に行える環境の整備に向けた戦略を策定する。
(2)本事業の目標
次の3つを内容とする「オープンソースソフトウェアの脆弱性情報管理に関する戦略」を策定することを本事業の目標とする。
①国内におけるOSS活用状況の把握
②脆弱性管理データベース及び脆弱性管理ポータルの要件定義等の検討
③データベースを活用したポータルによるSoftware ISAC事業の企画の作成
(3)本事業の内容
1.戦略策定委員会を設置し、次の事項を検討。
①OSS活用状況の調査
②脆弱性管理データベース及び脆弱性管理ポータルの要件定義等の検討
③脆弱性情報の効率的な収集手法、トリアージ可能な環境及びISACのサービス内容など
ISAC事業の企画の検討
2.OSS活用状況などのヒアリング調査
国内におけるOSSの活用状況及び脆弱性情報管理の課題やニーズを把握するため、以下を踏まえてヒアリングを実施し、結果をまとめる。
ヒアリングシート(=アンケート)の作成及び対象企業の選定
ヒアリング対象企業は、パッケージソフトウェア開発企業(コンピュータソフトウェア協会の会員企業)や組み込み系のソフトウェアを開発する企業とする。(計20社程度)
3.脆弱性管理データベース及び脆弱性管理ポータルの要件定義等の検討
①脆弱性情報管理の課題やニーズのヒアリングのための課題の抽出
②戦略策定委員会に専門家を招いての勉強会
③ヒアリング結果及び勉強会を踏まえ、戦略策定委員会で要件定義等を検討
④外注により要件定義等のドラフトを作成
⑤外注により作成されたドラフトの戦略策定委員会の検討
4.データベースを活用したポータルによるSoftware ISACの事業企画の検討
脆弱性情報の効率的な収集手法、トリアージ可能な環境のあり方、ソフトウェア開発企業へ提供する情報内容と提供方法、情報の分析や加工の方法などを検討し、Software ISACの具体的なサービス内容を明確化する。
5.戦略のまとめと報告書の作成
(4)成果の展開、活用方法
コンピュータソフトウェア協会においては、2018年7月の理事会で、パッケージソフトウェア開発事業者のためにISAC事業を実施する方針及び、将来この事業を独立させることが機関決定されており、セキュリティ委員会の下部組織であるSoftware ISACが、既にISAC事業の準備活動を行っている。
