ソフトウェアサプライチェーンセキュリティミートアップ : OSSセキュリティMeetup & CNCJ Collab Event

プレゼン資料と録画が公開されました (2025年3月3日更新)

プレゼン資料

• CRAの概要
• OpenSSF Scorecardの紹介
• コンテナサプライチェーンセキュリティ

録画

• Cloud Native Community Japan YouTube

業界で最も重要なオープンソースセキュリティの取り組みと、それをサポートする個人および企業をつなぎ合わせる業界横断的なプロジェクトOpen Source Security Foundation (OpenSSF) のメンバーが 2月21日(金) レッドハット株式会社オフィス (恵比寿) でMeetupを開催します。

今回のMeetupはCloud Native Security Japan (CNSJ)との共同開催イベントです。CNSJはCloud Native Community Foundation (CNCF) の日本分会Cloud Native Community Japan (CNCJ) のセキュリティ分野専門のサブグループで、認証・認可やコンテナランタイムセキュリティ、サプライチェーンセキュリティなど、クラウドネイティブ界隈の様々なセキュリティトピックに取り組んでいます。OpenSSF Japanと親和性が高く、今回のMeetupの共同開催に至りました。今回のMeetupでは、OpenSSF からはヨーロッパで先月施行され注目されているCyber Resilience Act (CRA) に関する話題と、セキュリティリスクをスコアとして算出するツールとしてOpenSSFで開発されているScorecardについての２つの話題を、CNSJからはソフトウェアサプライチェーンセキュリティに焦点を当てた話題を、合計3つの話題をお届けします。

本Meetupは、OpenSSFメンバーに限らず、OSSセキュリティに興味がある方はどなたでも歓迎します。本Meetupは、OSSセキュリティに関する同じ問題意識や課題を持つ仲間が集まり、主に日本語で情報を共有して、一緒に前進していける場を目指します。

イベント概要

• 日時 : 2月21日 (金) 18:30 〜 21:00
• 開場 18:30、開始 19:00
• 会場 : レッドハット株式会社オフィス (恵比寿ネオナートビル3F) ＋ オンライン
• 定員 : 50名 (現地参加) ＋ オンライン
• 参加登録 (無料) 2月21日まで : 登録はこちらから
  • 共催のため、参加登録は CNCJ のイベントページからお願いします

アジェンダ

• CRAの概要 (Presented by OpenSSF)
  ヨーロッパで昨年12月に施行されたCyber Resilience Act(CRA)について、要求事項や対象範囲およびその責任について概要の説明と、CRA原文を読む際の参考となる章構成について説明します。
  ルネサスエレクトロニクス 余保 束氏
  サイバートラスト 池田宗広氏
• OpenSSF Scorecardの紹介 (Presented by OpenSSF)
  Scorecardは、OpenSSFで開発されているツールで、GitHubなどのリポジトリを分析してセキュリティリスクをスコアとして算出するツールです。本セッションでは、Scorecardの使い方やどのような情報が得られるのかを紹介します。
  日立製作所 下沢拓氏
• コンテナサプライチェーンセキュリティ (Presented by CNSJ)
  コンテナ環境におけるサプライチェーンリスクを整理し、コンテナを安全に開発・利用するための具体的なアプローチを提案します。
  スリーシェイク 水元 恭平氏

OSSセキュリティMeetupについて ー OSSセキュリティの重要性

現代社会を支えるITシステムは、OSSに広く依存しています。企業の製品やサービスに含まれているソフトウェアのうち70％〜90％はOSSであると言われています。企業は多くの場合、OSSの活用を通して開発スピードと品質を高め、技術革新を目指します。OSS採用により、産業全体でOSSのメリットを共有する一方で、脆弱性が見つかればその影響は広範囲に及びます。このためOSSセキュリティを確保することは非常に重要であり、国や組織を超えた協力的な取り組みが求められています。