Linux セキュリティに対する Red Hat のグローバルな影響力

Red Hat はオープンソース、つまりセキュリティをテクノロジーの最前線に置く国際的なエンジニアたちで構成される透明性の高い分散型コミュニティの上に構築されています。Red Hat Enterprise Linux (RHEL) は信頼できるオペレーティングシステム (OS) であり、フォーチュン 500 企業の 90% 以上、および 174 カ国以上のお客様に使用されています。この信頼は、RHEL の信頼性と安定性に加えて、Red Hat が長年にわたりオープンソース・プロジェクトに積極的に貢献してきた実績によるものです。 

しかし、Linux OS に関してあまり重視されないことが多い重要な点が 1 つあります。それは、他のオペレーティングシステムよりもセキュリティが優れているという評判があることです。このような評判はありますが、セキュリティに関してはどの Linux ディストリビューションでもまったく同じというわけではありません。Red Hat は長年にわたり、RHEL ユーザーが地域の厳格なグローバルセキュリティ要件を満たし、セキュリティのベストプラクティスを可能な限り効率的に活用できる適切な機能を提供するために多大な投資を行ってきました。この記事では、これらのセキュリティ投資の一部と、それらが 3 つの主要な領域 (調査/ロードマップ、デプロイ/実践、販売後のセキュリティサポート) でユーザーにどのような影響を与えるのかについて説明します。 

調査とロードマップ

コンプライアンス要件は世界各地で異なる

40 以上の国に 100 を超えるオフィスを有する Red Hat のチームは、国によって異なるコンプライアンス規制が多数存在することを理解しています。RHEL の調査とロードマップの段階で重要なのは、ユーザーが現在直面している要件、そして将来直面する可能性のある新しい要件を検討することです。

たとえば、多くのデータがクラウドに移行し、AI がさらに普及してさまざまなデータセットへのアクセスが必要になると、データ主権に関する新たな懸念が次々と生じます。Red Hat はさまざまな業界や国にお客様を抱えており、多くのユーザーが直面している制御、ガバナンス、および証明の要件について理解しています。世界各地の規制に関する個別の詳細については、グローバル市場における Red Hat の製品とサービスのサイバーセキュリティの検証および認証の詳細を説明する Web ページをご覧ください。このページは、新しい規制が導入されるたびに更新されます。

脅威の可能性を注視する

製品チームは、将来起こる可能性のある脅威を特定できるよう常に先を見据えています。製品チームのメンバーが将来の脅威や問題を特定した場合、元来は軍で開発された手法に基づいて、SBAR (Situation (状況)、Background (背景)、Assessment (評価)、Recommendation (推奨事項) の頭文字をとった略語) というドキュメントを作成します。

名称からわかるように、この資料では将来の脅威がどのようなものかを示す状況、それがお客様と製品にとって意味するもの、対処の実現可能性とそのための方法を説明し、さらに Red Hat が取るべき対策に関する推奨事項を記載しています。オープンソース企業の在り方に従って、SBAR は Red Hat の全従業員と共有され、それによって追加情報の収集と、最も適切な推奨事項に関する協力が行われます。例として、ポスト量子暗号化という将来の課題に製品チームがどのように対処するかに関する内部計画は、何年も前に作成された SBAR に基づいて 2022 年 4 月にすでに作成され、存在していました。 

セキュア開発ライフサイクル (SDLC) プラクティス

ソフトウェア・セキュリティは開発の段階から組み込む必要があり、Red Hat は米国国立標準技術研究所 (NIST) の Secure Software Development Framework (NIST SSDF SP-800-218) および Open Web Application Security Project (OWASP) ガイダンスとさまざまな ISO 標準規格に準拠したアプローチに従っています。Red Hat 製品セキュリティのすべてのメンバーは、Red Hat セキュアソフトウェア管理ライフサイクル (SSML) に期待されることを理解しているだけでなく、それらのプラクティスをサポートするために設計された計画とプロセスに従うことにも精通しています。このフレームワークのさまざまな側面の詳細については、製品セキュリティチームが執筆したナレッジベース記事をご覧ください。 

監視の目が多いほどリスクは低下する

多くのベンダーが、自社だけが唯一のコントリビューターとなる読み取り専用のオープンソース・プロジェクトを実施しています。こうした例は、スタートアップ企業から大手テクノロジー企業まで数え切れないほどあります。これらの企業はオープンソースをテクノロジーの採用を促進するためのマーケティングファネルとして利用していますが、イノベーションという、オープンソースが持つ真の力は軽視しています。ユーザーには自社のオープンソース・ソフトウェアの使用を求めますが、ドキュメントやユーザーグループを除いて、ユーザーからのパッチやコントリビューションは歓迎しません。彼らはあなたのコードを求めていないのです。彼らは、そのオープンソースから構築した商用プロジェクトから収益を得るために、プロジェクトを完全に管理する必要があるからです。

Red Hat では、オープンソースの真の力はコミュニティ主導のオープンソースにあると考えています。そのようなオープンソース・プロジェクトでは、コードは世界中の大勢のコントリビューターのコラボレーションによるプロセスで構築されています。この手法では、最も優れたアイデアを募集し、それを選択します。また、Linus Torvalds 氏がかつて述べた、「十分な数の目で見れば、あらゆるバグは洗い出される」という長年の伝統をサポートします。コントリビューターのコミュニティが健全な状態にあれば、たとえ 1 人の参加者の作業が不適切でも、他の参加者がその問題をコミュニティの他のメンバーに報告できます。コミュニティ内の誰もが、お互いの行動を見ています。問題を解決できない場合、参加者はコードのコピーを取得して、それとは別の独自バージョンのプロジェクトを開始することができます。 

セキュリティの観点からは、コミュニティ主導のオープンソースのオープン性、透明性、そしてコラボレーティブな性質により、最終的には悪意のある脆弱性がコードに侵入するリスクが低くなります。誰もが他の人を監視し、全員がコードに目を向けていれば、意図的か偶然かにかかわらず、有害なものを侵入させることは非常に難しくなります。

デプロイメントとプラクティス

ビルド時にセキュリティの強化を始める

Red Hat では、デフォルトのセキュリティ構成、最小権限のアクセス制御、厳格なコードレビューなど、複数階層にわたるセキュリティメカニズムを製品に組み込んでいます。ユーザーがよく関心を持つ機能の 1 つに、デフォルト構成を提供するセキュリティプロファイルを活用する機能があります。セキュリティベースラインを選択する際、管理者は、ビルド時に自動化を活用して、構成がコンプライアンスとセキュリティのベストプラクティスを満たしていることを確認できます。これにより、自動化なしであればビルド後に手動で行っていた作業の効率が向上し、リスクと人的ミスの可能性が低下します。 

効率とセキュリティを組み合わせる

2024 年、Red Hat はイメージモードを導入しました。これは RHEL の新しいデプロイメント方法で、プラットフォームをコンテナイメージとして提供します。イメージモードは、オペレーティングシステムの構築、デプロイ、管理にコンテナネイティブのアプローチを適用し、アプリケーションから基盤となるオペレーティングシステムに至るまでの IT ランドスケープ全体を同じツールとテクニックで管理するための単一のワークフローを提供します。これにより、セキュリティチームはスキャンと検証から、暗号化と証明、オペレーティングシステムの基本要素に至るまで、使い慣れたコンテナ・セキュリティ・ツールを使用できるようになり、作業が大幅にシンプルになります。

セキュリティに関する知見をユーザーに提供する

新たな脅威が絶えず出現し、IT チームへの要求が絶えず増加している状況にあって、Red Hat Insights は、お客様が問題を自己識別して報告し、ビジネスへの影響に基づいてリスクに優先順位を付け、さらには組織内の自動化ツールチェーンで次のアクションをトリガーできるように設計されています。Insights には、リスクの管理をより効果的に行うためのセキュリティ分析ツールが備わっています。単一のインタフェースからシステムをスキャンして共通脆弱性識別子 (CVE) を検出し、スキャン情報を収集し、修復ガイダンスにアクセスできます。 

また、重大度、リスクの種類、変更による影響に基づいて、修正アクションに優先順位を付けるのに役立ちます。これにより、OpenSCAP ポリシーに対する遵守状況を監査し、遵守できていないシステムをより簡単に修正し、コンプライアンスレポートをより簡単に作成することで、よりプロアクティブに対処することが可能になります。さらに、Insights を使用すると、ハイブリッドクラウド環境全体のシステムにおいて、アクティブなマルウェアのシグネチャを迅速に検出できます。

販売後のセキュリティサポート

Red Hat は信頼されるグローバルなセキュリティパートナー

Red Hat ではセキュリティを中核的な取り組みとして重視しており、業界主導の連携した責任ある情報開示プログラムに従った企業活動に取り組んでいます。Red Hat は長年にわたってこれらの組織に参加し、セキュリティデータの共有とコラボレーションにおいてグローバルおよび国内のパートナーと連携してきました。

Common Vulnerabilities and Exposures (CVE) Root 参加者として特別な役割を担っている世界中の少数の組織の 1 つとして、Red Hat は CVE.org と、一般公開されているサイバーセキュリティの脆弱性を特定、定義、カタログ化するというその使命に協力しています。Red Hat は Root のロールを持つのに加えて、CVE 採番機関 (CNA) でもあるため、CVE プログラムにより、CVE ID を脆弱性に割り当てて CVE レコードを公開する権限を与えられています。

Red Hat のお客様にとってこれは、新しい CVE が通知されるとき、その脆弱性の評価には RHEL に精通したセキュリティエキスパートのチームがアクティブに関与しているという安心感が得られるということを意味します。Red Hat 製品がこれらの脆弱性の影響を受けるとき、チームはすでに必要な修復手順の調査を行っています。

最後に、Red Hat が依存し、関与しているオープンソース・コミュニティへの貢献として、Red Hat は CNA of Last Resort (CNA-LR) でもあります。つまり、他の CNA がカバーしていないオープンソース・プロジェクトに影響を与える脆弱性に CVE を割り当て、それを公開することができます。

セキュリティ、脆弱性、修復に関する透明性

Red Hat は当然 RHEL を重視していますが、セキュリティに関しては、セキュリティ情報と脆弱性について積極的に公開しています。透明性は Red Hat の DNA に組み込まれています。製品セキュリティチームのビジョンには、セキュリティとプライバシーのリスクを緩和するために必要な質の高い情報と、そのためのアクセスを提供することも含まれています。

その対象は Red Hat のお客様だけにとどまらず、すべての Linux ユーザーに対す���パッチ提供や緩和戦略のためのコミュニティ・コラボレーションにもつながっています。世界で最も安全なオペレーティングシステムの 1 つであるという Linux の評判を維持するために取り組むことは、コミュニティに参加する私たち全員にとって重要です。先ほど述べたように、これにはコードも含まれます。Red Hat のコードはオープンです。誰もが自由にコードを検査、監査、レビューし、貢献できます。

Red Hat は、グローバルな業界が採用し、構築するための基盤となるフレームワークを提供するオープンソース・セキュリティ・プラクティスの開発に、世界中の仲間や同僚とともに参加しています。この手法は新しいものではありません。Red Hat は過去 30 年間にわたって OpenSCAP の作成をサポートし、OpenSSF や CoSAI などの組織に参加し、OSV.dev に貢献してきました。 

次の 30 年を見据えて

Red Hat はおそらく、従来の意味でのセキュリティ企業とは見なされていませんが、数十年にわたり、基盤そしてイネーブラーとしてのセキュリティに注力してきました。今の世界は、Marc Ewing (マーク・ユーイング) が Red Hat Linux という Linux ディストリビューションを初めて開発した 1993 年から大きく変化しています。これからの 30 年がどのようなものになるかを明確に知ることは誰にもできませんが、今後もグローバルなセキュリティ要件に大きく重点を置く必要があることは明らかです。 

Red Hat は今後も引き続き以下のことを行います。

• 当社の製品が世界中のお客様のセキュリティニーズを満たせるように、必要なロードマップを調査して策定する
• ビルド時に容易にセキュリティを適用し、リスクの低減と効率の向上を両立できるように製品を設計する
• CVE プログラムなどのセキュリティに重点を置いたイニシアチブに積極的に参加することで脅威を修復するために、Red Hat の基盤とグローバルな Linux コミュニティをサポートする

Red Hat は、Linux と、コミュニティの保護に情熱を持って取り組んでいます。多くの皆さんとこのミッションのために協力できることを楽しみにしています。 

オープンソースのセキュリティに関する最新情報をお求めの場合は、ブログフィードにご登録ください。