米国政府によるITオープンソースソフトウェア採用への取り組み

編集部注:著者のVenky Adivi(ベンキー・アディビー)氏は、Ubuntu(ウブントゥ)の配布元であるCanonical(カノニカル)の戦略獲得および提案マネジメントディレクター

ーーー

近年、民間企業たちは、オープンソースのソフトウェアや開発手法を選び、プロプライエタリソフトウェア利用を避けている。それには理由がある。オープンソースを採用することで、新しいコードを書く代わりに、自由に利用できるコンポーネントを使うことができるので、コストと開発時間を削減できる。これにより、新しいアプリケーションを迅速に展開することが可能になり、ベンダーロックインを排除することができる。

しかし、米国連邦政府によるオープンソースの採用はそれほどは進んで来なかった。何百万人もの人々にサービスを提供し膨大な量の機密データの管理責任を担うために、多くの政府機関が大規模なレガシーITインフラならびにシステムを採用しているという事実が、変革への取り組みを難しいものとしてきたのだ。米国政府は毎年莫大なIT投資を行っているが、各省庁は基本的に独自の組織として活動しているため、意思決定はたとえば大手銀行などとは比較にならないほど分散して行われている。

近年、政府はよりオープンな方向に向かっていくつかの動きを見せているものの、連邦政府のITシステムのためのオープンソースの話は、現実というよりも可能性の話であることが多かった。

しかし、この状況は変わりつつあり、政府もオープンソース採用への転換点を迎えつつあることを示す兆候をいくつかみてとることができる。デジタルに精通した市民に対してサービスを提供できるアプリケーションの作成コストは上昇し続けているが、各省庁にとって、納税者からの税金を節約しながらサービスを向上させる方法を見つけるための予算は限られている。

経済的な観点からもオープンソースの役割は大きくなっているが、他にもさまざまなメリットがある。オープンソースソフトウェアは、ソースコードが公開されているため、開発チーム以外の人による継続的なレビューが行われ、ソフトウェアの信頼性やセキュリティの向上が図られる他、コードを共有して他の機関で再利用することも容易となる。

以下では、米国政府がますますオープンソースに向かっていることを示す5つの兆候を紹介する。

オープンソースイノベーションのための専用リソースの拡充

政府機関によるオープンソースへの取り組みを支援するために、2つの取り組みが行われている。

米連邦政府一般調達局(GSA、General Services Administration)の中に設けられた18Fは、他の政府機関がデジタルサービスを構築する際のコンサルティングを行っているが、熱心なオープンソース支援者でもある。その活動の中には、連邦選挙委員会(FEC、Federal Election Commission)のデータにアクセスするための新しいアプリケーションの開発や、GSAの委託業者採用プロセスを改善するためのソフトウェアも含まれている。

18F(その名称の由来はGSA本部の住所である1800 F St.を略したもの)は、民間企業におけるオープンソースの勃興と勢いに拍車をかけている草の根的な精神を反映している。同グループのウェブサイトには「私たちが作成したコードは、パブリックドメインとして一般に公開されています」と記載されている。

今から5年前の8月に、オバマ政権は新しい連邦ソースコードポリシーを導入した。それはすべての機関に対して、オープンソースのアプローチを採用し、ソースコード資産を生み出し、書かれたコードの少なくとも20%をオープンソースとして公開することを求めるものだった。また政権はCode.govも立ち上げて、他の省庁がすでに使用しているオープンソースソリューションを各省庁が探せるようにした。

しかし、その結果は玉石混交である。Code.govの追跡調査によれば、ほとんどの省庁が連邦政府の方針に沿った対応をしているものの、多くの省庁では実装上の課題が残されている。また、Code.govのスタッフが行ったレポートによれば、オープンソースを他の機関よりも積極的に取り入れている機関もあるという。

それでも、Code.govによれば、連邦政府におけるオープンソースの成長は、当初の予想よりもはるかに進んでいるという。

新政権からの働きかけ

2021年3月初旬にバイデン大統領が署名した、1兆9000億ドル(約208兆7000億円)のパンデミック対策法案の「米国救済計画法(American Rescue Plan)」には、連邦政府の新規技術プロジェクトに資金を提供するために、GSAから「技術革新基金(Technology Modernization Fund)」として90億ドル(約9883億8000万円)が計上されていた。1月にホワイトハウスは、たとえば最近のSolarWinds(ソーラーウインズ)事件のような情報漏えいに対処するために、連邦政府のITインフラをアップグレードすることを「待ったなしの国家安全保障上の緊急課題」であると発表した

これらの取り組みの多くが、オープンソースソフトウェアを基盤にすると考えてよいだろう。なぜならホワイトハウスのテクノロジーディレクターであるDavid Recordon(デビッド・レコードン)氏は、長年にわたってオープンソースの支持者であり、かつてはFacebookのオープンソースプロジェクトを率いていたことがあるからだ。

スキル環境の変化

キャリアの大半をレガシーシステムとともに過ごしてきた連邦政府のIT職員が退職し始めたが、その後継者はオープンソースの世界で育ち、それに慣れ親しんだ若い世代だ。

Linux Foundation(リナックス財団)の調査によれば、民間企業の採用担当者の約81%が、オープンソースの人材を採用することが優先事項であり、資格を持つプロフェッショナルを求める傾向がこれまで以上に強くなっていると回答している。オープンソースの普及を支える人材の必要性を認識している公共部門が、この傾向を反映するようになってきているのは間違いない。

ベンダーのより強力な役割

適切な商用オープンソースベンダーと提携することで、政府機関はインフラコストを削減し、アプリケーションをより効率的に管理することができる。例えば、FISMA(Federal Security Modernization Act、連邦情報セキュリティマネジメント法)、FIPS(Federal Information Processing Standards、連邦情報処理標準)、FedRamp(Federal Risk and Authorization Management Program、米国連邦リスク承認管理プログラム)などのポリシーで定められたセキュリティ要件への対応は、ベンダーが大きく先行しており、コンプライアンスへの対応も容易になっている。

さらに、ベンダーの中には強力なインフラ自動化ツールや手厚いサポートパッケージを提供しているところもあるため、連邦政府機関がオープンソース戦略を加速する際に単独で対応する必要はない。UbuntuのようなLinuxディストリビューションは、ノートブック/ デスクトップからクラウド、そしてエッジに至るまで、パブリッククラウド、コンテナ、物理 / 仮想インフラストラクチャに対して一貫した開発者体験を提供している。

これにより、アプリケーション開発は、24時間365日の電話およびウェブサポートを含む十分なサポート体制を得られるようになっており、ウェブポータル、ナレッジベース、または電話を介して世界クラスの企業サポートチームにアクセスすることができる。

パンデミック効果

新型コロナウイルスによって在宅勤務者の増加や市民のオンラインサービスへの要求が増大したことで、連邦政府の大部分がデジタルゲームの向上を迫られている。オープンソースを使うことで、レガシーアプリケーションをクラウドに移行したり、新しいアプリケーションをより迅速に開発したり、ITインフラを急速に変化する需要に適応させることができる。

こうした兆候が示しているように、連邦政府はオープンソースの採用に向けて、単なる話題から実際の行動へと急速に移行しようとしている。

勝者は誰かって?もちろん全員だ!

関連記事



画像クレジット:Getty Images (Matt Anderson Photographyよりライセンス許諾)

原文へ

(文:Venky Adivi、翻訳:sako)

セキュリティバグが見つかったZoomの米政府機関使用許可発行に用いられた資料の提供を要求するも、GSAは拒否

上院議員がGSA(一般調達局)に対し、連邦政府機関向けZoomの使用認可プロセスのためにZoomが提出した資料をレビュー目的で要求したが、GSAはこれを拒否した。

この拒否は、2021年5月に民主党上院議員であるRon Wyden(ロン・ワイデン)氏からGSAに寄せられた書簡に対し発せられたものである。この書簡でワイデン氏は、GSAが連邦政府機関でのZoom使用を認可した数週間後にアプリ内で重大なセキュリティの脆弱性が見つかったことへの懸念を表明している。

ワイデン氏はバグの発見により「FedRAMPの監査の質に対する重大な懸念」が高まったと述べた。

Zoomは2019年4月に、GSAが運営するプログラムであるFedRAMPより承認を受けて、政府内での使用が許可された。FedRAMPは、クラウドサービスが最も一般的な脅威からサービスを保護・強化するために設けられた一連のセキュリティ要件を満たしていることを保証するプログラムである。この認可がなければ、連邦政府機関はクラウド製品またはテクノロジーを使用することができない。

認可を受けた1カ月後、セキュリティ研究者が欠陥を見つけた。これはウェブカメラを許可なくリモートでオンにできるため悪用される可能性があるという問題で、 ZoomはMacアプリへパッチを施すことを余儀なくされた。ユーザーがZoomをアンイストールした後でさえ、その脆弱性の影響を受けることが判明したため、Appleは対応のため介入せざるをえなかった。パンデミックが広がりロックダウンが始まるとZoomの人気は急激に高まったが、同様に調査も盛んに行われた。Zoomは長い間エンド・ツー・エンドの暗号化が施されていると主張してきたが、それは真実ではないことを発見した報告者による技術的分析も公表された。

関連記事
アップルがビデオ会議システムZoomの隠しサーバーを削除するアップデートを静かにプッシュ配信
Zoomユーザーがリモートワークで前年比354%と急増、売上は前年比169%

ワイデン氏はGSAに対し、Zoomが認可を得た後にセキュリティバグが見つかったことを「非常に問題がある」と述べた書簡を送った。その書簡の中で、ワイデン上院議員は、なぜ、どのようにZoomがGSAの認可を得たかを理解するために、ZoomがFedRAMP認可の一環として提出した「セキュリティパッケージ」として知られる資料を開示するよう要求した。

GSAはワイデン氏が2020年7月に最初に要求を行った際、氏が委員長ではないという理由で拒否した。新たに発足したバイデン政権下で上院財政委員会委員長に任命されたワイデン氏は、再度Zoomのセキュリティパッケージを要求した。

しかし、ワイデン氏のオフィスに2021年B6月末に送られた新たな書簡の中で、GSAはセキュリティ上の懸念を挙げ、2度目の拒否を行った。

「ご要望のセキュリティパッケージには機密性の高い専有情報や、Zoomによる政府向け製品に関する他の機密情報が含まれています。この情報を保護することは、そのサービスとそれがホストする政府データの保全に不可欠であり、討議の結果、GSAはZoomのセキュリティパッケージを開示することは、重大なセキュリティリスクを引き起こすと判断いたしました」とGSAからの書簡には書かれていた。

GSAからのこの書簡について、ワイデン氏はTechCrunchに対し、他にも欠陥のあるソフトウェアが政府内での使用許可を得ているのではないかと懸念していると述べた。

「GSAによるFedRAMPプログラムの意図、つまり複数の連邦政府機関が同じソフトウェアのセキュリティを確認する必要がないように官僚的形式主義を排除する、という考えは大変納得のいくものです。しかし、その場合その審査を行う機関が徹底的な仕事をすることが非常に重要です。私は政府によるZoom審査において重大なサイバーセキュリティ上の欠陥が見過ごされ、これが最終的にセキュリティリ研究者によって発見され公にされたという点に懸念を覚えます。GSAがZoomの監査資料を国会に提供するのを拒否したことは、GSAが連邦政府のために認可した他のソフトウェア製品のセキュリティに疑問を投げかけるものです」とワイデン氏は述べた。

我々は、FedRAMPプロセスについて直接知識を持っている政府職員や、その認可プロセスを経験した企業に話を聞いたが、彼らによると、FedRAMPは包括的ではあるものの、連邦政府のセキュリティ要件を満たすために企業が実施すべきことを完全に網羅するものではないとのことである。

そのプロセスには限界があり、改革が必要だと述べた人々もいた。FedRAMPの仕組みを知っているある人物は、認可プロセスは製品のソースコードを精査するものではなく、ベストプラクティスやコンプライアンス要件を満たしているかのチェックリストに似たものだと述べた。その人物によると、そのプロセスの多くはベンダーを信頼することに依存しており「自己申告システム」に近いとのことである。別の人物は、FedRAMPプロセスではすべてのバグを捉えきれないと述べた。これは、先にバイデン大統領がFedRAMPプロセスの刷新と向上を目指して取った措置によっても明らかである。

我々が話を聞いた人々の多くは、ZoomのFedRAMPセキュリティパッケージの機密性を理由にワイデン氏の要求が拒否されたことに驚いていなかった。

彼らによると、この認可プロセスを通過しようとする企業は、自社製品のセキュリティに関する機密性の高い技術情報を提出しなければならず、仮にその情報が外部に漏れた場合は、ほぼ確実に当該企業は損害を被る、とのことであった。セキュリティ上の脆弱性がどこにあるかがわかってしまうと、サイバー犯罪者に情報を与えることになりかねないのである。企業がFedRAMP監査に先だち何百万ドル(何百億円)もの大金を投じて自社製品のセキュリティを強化することはよくあることだが、彼らは自社の企業秘密が外部に漏れかねないと判断した場合は、あえてリスクを冒して認可プロセスへ参加しないだろう、とのことであった。

ワイデン氏の要求をなぜ拒否したのかとGSAから尋ねられた際、Zoomの米国政府関連事業を統括するLauren Belive(ローレン・ビリーブ)氏は、セキュリティパッケージを上院に引き渡すことは、FedRAMPプロセスに企業が寄せる特別な「信頼と信用」を損なう危険な前例を作ってしまうからだ、と述べた。

GSAはFedRAMPセキュリティパッケージへのアクセスを厳密に管理している。この情報へアクセスするには、連邦政府または軍のメールアドレスが必要であるが、実はこれは上院議員も所持している。しかし、GSAがワイデン氏の要求を拒否した理由は未だ明確ではなく、GSAの広報担当者に尋ねてみたが、国会議員が企業のFedRAMPセキュリティパッケージを取得する方法については説明がなかった。

GSAの広報担当者、Christina Wilkes(クリスティーナ・ウィルケス)氏は「GSAは国会との関係を重視しており、ワイデン上院議員および管轄委員会と引き続き協力してGSAのプログラムや運用に関する適切な情報を提供していきます」と述べ、さらに次のようにも付け加えた。

GSAは民間セクターのパートナーと緊密に連携し、FedRAMPを通しクラウドサービスのセキュリティを認可する標準化されたアプローチを提供して参ります。ZoomのFedRAMPセキュリティパッケージおよび関係資料はZoomが政府に提供している製品に関連するセキュリティ措置の詳細情報を含んでいます。セキュリティに関する機密情報や企業秘密に関するGSAのスタンスは、権限を有する議会委員会の公式の書面による要求がない限り、定められた情報配布または情報公開の管理手順に従って、資料の提出を差し控えるということで一貫しております。

GSAはどの議会委員会が権限を持っているのか、あるいは、ワイデン氏の上院財政委員会議長という役職が十分な資格を満たすものであるのかには言及しておらず、またワイデン氏によるFedRAMPプロセスの有効性に関する問題提起に回答するつもりであるかについても言及していない。

Zoomの広報担当者、Kelsey Knight(ケルシー・ナイト)氏は、 Zoomのようなクラウド企業は「GSAに対し、FedRAMP認可プロセスの一環として、認可の決定にのみ使用されるという理解のもとに専有情報や機密情報を提出しています。Zoomは、ZoomのFedRAMPセキュリティパッケージが認可の目的を超えて外部に開示されるべきではないと信じておりますが、国会議員の方々や他の関係者の方々と政府機関向けZoomのセキュリティについてお話しすることを歓迎するものです」と述べた。

Zoomは「製品の継続的向上のためにセキュリティ強化に取り組み」、年次更新の一環として2020年および2021年にもFedRAMP認可を受けたと述べた。同社はZoomアプリがFedRAMPプロセスの中でどの程度の監査を受けたかについては、回答を拒否した。

現在20を超す政府機関がZoomを使用しており、これには国防総省、国土安全保障省、米国税関国境警備局、大統領行政府などが含まれる。

カテゴリー:セキュリティ
タグ:アメリカGSAZoomビデオ会議FedRAMP

画像クレジット:Olivier Doiliery / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Dragonfly)