今回は、今月のはじめに米国のバイデン政権により発表された国家サイバーセキュリティ戦略（全文PDF、概要書）の話から始めたいと思います。

その冒頭で「サイバーセキュリティは、我々の経済の基本機能、重要インフラの運用、民主主義並びに民主的制度の強靭さ、データや通信のプライバシー、そして国家防衛に欠かせない」と宣言するバイデン政権は、国家サイバーセキュリティ戦略における5つの柱を掲げています。

1. 重要なインフラの防衛
2. 脅威アクターの妨害、解体
3. 安全と回復力を推進する市場力形成
4. 回復力のある未来への投資
5. 共通の目標を達成する国際的パートナーシップの構築

注目すべきは、「重要なインフラの防衛」についての記述に顕著ですが、サイバーリスクに直面するエンドユーザーの責任が大きい現状を踏まえてサイバースペース防衛の責任の再分配を訴えていることです。これは要は、個人と国家の間に位置する企業、州政府、地方自治体、インフラ事業者といった存在それぞれがサイバーセキュリティの責任を担うため、官民の密接な協力が重要ということです。

思えば、バイデン政権で国家サイバー長官を務めるクリス・イングリスが、一年前にデジタル世界における信頼構築のために「新たなサイバー社会契約」の必要性を訴える論説を著し、その中で民間部門はデジタルエコシステムに長期的な投資を行いサイバー防衛の負担を負い、一方で政府は脅威情報をよりタイムリーかつ包括的に提供し、産業界を重要なパートナーとして扱うことで、公共部門と民間部門の関係を有意義な形に変化させる官民連携の規模拡大を訴えていたのは、まさに今回の発表の露払いだったと分かります。

またクリス・イングリスは、その文章の中でサイバー分野で米国は中国とロシアにやられっぱなしで、このままデジタル権威主義をゴリ押しされる危機意識も訴えていますが、今回の国家サイバーセキュリティ戦略でも、最初のほうで「悪意のある行為者」として中国、ロシア、イラン、北朝鮮が明確に名指しされており、それらへの対策として「脅威アクターの妨害、解体」（とその裏返しである「共通の目標を達成する国際的パートナーシップの構築」）が書かれています。

残るは「安全と回復力を推進する市場力形成」と「回復力のある未来への投資」ですが、いずれも「回復力」という単語を含みます。今回の国家サイバーセキュリティ戦略の本文中、名詞のresilienceは36回、形容詞のresilientは29回登場しており、この「回復力」がもっとも重要なキーワードであることが分かります。つまり、現在のサイバーセキュリティを考える上で、攻撃を完全に防御することは端から無理であり、そこからどれだけ迅速に回復し、安全な状態を取り戻せるかがポイントというわけです。

しかし、「回復力」はかけ声だけでは得られません。国家サイバーセキュリティ戦略には、政府の助成金制度などでインセンティブを与えながら、データの管理者に個人データ保護の責任を負わせ、より安全なIoT機器の開発を促し、ソフトウエアの脆弱性などのリスクによって生じるデータ損失や損害に対する責任を規定する法律の再構築の必要性を掲げています。

そして、現在の市場では、セキュリティ・バイ・デザインの原則などに従うことなく事業者が脆弱な製品やサービスをデジタルエコシステムに持ち込むほうが得なため、セキュリティの不備がデジタルエコシステム全体のシステム上のリスクを大幅に増大させ、米国市民が最終的なコストを負担していることを問題視し、ソフトウエアの安全性を確保する策を講じない事業者に責任を負わせる必要性を強調しています。

個人的に目を引いたのは、そのように事業者の責任を強調する一方で、オープンソース開発者への配慮があるところです。今回の国家サイバーセキュリティ戦略において、オープンソース・ソフトウエア（以下、OSS）について言及している箇所を以下に引用します。

ソフトウエアを製造する企業には技術革新の自由がなければならないが、消費者、企業、重要インフラ提供者に負う注意義務を果たせない場合には、責任も負わなくはならない。その責任は、往々にして安全でないソフトウエアの責任を背負わされるエンドユーザーや商用製品に組み込まれるコンポーネントを作るオープンソース開発者ではなく、悪い結果を防ぐ行動を起こすのにもっともしかるべきステークホルダーに負わせなくてはならない。そうすることで、スタートアップや中小企業が市場のリーダーと競争する能力が保たれ、より安全な製品やサービスを作る市場が活性化することになろう。

この少し下には、以下の記述もあります。

安全なソフトウエア開発手法の採用をさらに促進すべく、政権はあらゆる技術部門にわたり協調的な脆弱性情報の開示ならびにSBOM（Software Bill of Materials）のさらなる展開を奨励し、広範に利用され、重要インフラをサポートしながら（脆弱性情報開示やSBOMに）未対応のソフトウエアがもたらすリスクを特定、軽減する作業を進める。連邦政府は民間企業やオープンソース・ソフトウエア・コミュニティと連携し、メモリ安全性が高いプログラミング言語やソフトウエア開発技術、フレームワーク、テストツールなど、安全なソフトウエア開発への投資も継続する。

SBOM（Software Bill Of Materials）とは、ソフトウエアのコンポーネントや依存関係、ライセンスなどのデータを一覧にする「ソフトウェア部品表」のことで、利用しているOSSの情報をソフトウエア・サプライチェーンに伝達する仕組みですが、そもそもこのSBOMが注目されるようになったのも、2021年5月に発行された国家のサイバーセキュリティの向上に関する大統領令が契機だと言われています。

上記の引用を読んでも分かるのは、OSSはデジタルエコシステムのインフラであり、国家サイバーセキュリティ戦略を語る上で欠かせないという米国政府の基本認識です。よって米国政府も、そのコミュニティに居丈高にただ責任を負わせるのでなく協調姿勢を打ち出していますが、2021年末のApache Log4jの脆弱性問題では、オープンソースの安全性をどういう仕組みで担保していくかがクローズアップされましたし、OSSというデジタルインフラは砂上の楼閣に築かれているという見方もあります。

またOSSの開発コミュニティについても、その大規模化に合わせたガバナンスモデルに移行すべきという意見もある一方で、ビッグテックも使用するOSSをたった一人でメンテナンスする開発者の嘆きがニュースになったりもします。

つまりはOSSの開発リソースに偏りがあるということですが、少し前に公開されたRegisterの「誰がLinuxやオープンソースを書いているのか？」という記事では、OSSなんて実家の地下室に住んでるような人たちが、心からの善意でコード書いてると思っている人もいるだろうが、その認識はとーっても間違ってるぞ、という話から始まります。

もちろん現在も、自分のニーズを満たすため、あるいは単にそれが楽しいからという理由でオープンソースのコードを書いている個人もいますが、GitHubを調査対象とした現在のオープンソースへの貢献者トップは、Amazon Web Service、Intel、Red Hat、Google、そしてマイクロソフトとすべて企業であり、別の調査によればマイクロソフトとGoogleの首位争いという結果になったそうです。

「オープンソース経済のエンジンは企業」も最近になって言われ始めた話ではありませんが、正直ワタシなど未だその開発者にアナーキックなイメージを持ちがちだったりします。また一方で、今回の国家サイバーセキュリティ戦略についても、官民の連携強化とか言いながら、セキュリティ分野における官の民間（OSSコミュニティを含む）への影響力を強めるのが目的じゃない？ と訝しく思う気持ちもあります。

なので、今回の発表より前からオープンソースコミュニティも、Linux Foundation傘下のOpen Source Security Foundation（OpenSSF）が、米国政府とミーティングの機会を持ち連携姿勢を示し、コード監査やSBOMの普及などでオープンソースのセキュリティ向上を目指しているのを知ると、大人だなという間抜けな感想を持ってしまいます。けれども、思えば今年2023年は、クリスティン・ピーターソンが「オープンソース」という言葉を発明して25年になります。インフラになろうが大人になろうが、おかしな話ではないのです。

インフラとしてのOSSを考えるうえでは、米国のシンクタンクである大西洋評議会が先月公開した「成功の罠を避けるために：インフラとしてのオープンソース・ソフトウエアの政策にむけて」という長文の報告書も参考になります。

正直これをざっと読んでも「成功の罠」が何なのかよく分からなかったのですが、上記のような旧来の誤ったイメージも含まれるのかもしれません。この報告書の冒頭で、やはりOSSにまつわるセキュリティ事件が政策立案者をそれに目を向ける契機となったことが書かれており、共有資源としてのOSSのセキュリティとその持続可能性を支えるための視点が示されています。

この報告書では、インフラとしてのOSSを考える上で3種類のインフラシステム（水管理システム、資本市場、道路や橋のネットワーク）をOSSにあてはめ、それぞれの例えに合致するやり方でのOSSの持続性と安全性をサポートする政策を提案しているのがポイントになります。

ただ「旧来の誤ったイメージ」を別にしても、2023年の現在、オープン（ソース）という言葉には微妙なぼやけを感じます。佐渡秀治さんが「この25年間、我々のコミュニティはソフトウエアの自由をオープンという言葉に込めてライセンスを規範としてきた」と書くように、オープンソースの定義に適合するライセンスでオープンソースが規定される一方で、それに続けて佐渡さんが書くAIコミュニティでは、データをオープンにしてきたことを「間違っていた」と共同設立者が認めるOpenAIのGPT-4が熱狂を生み出しているという、果たしてオープンとは？ と思ってしまう状況があります。

そして、オープンソースといえば、Twitterのイーロン・マスクCEOが、Twitterのコードを3月31日にオープンソース化すると発表しています。これが実現すれば、それこそ25年前のNetscapeによるブラウザのソースコード公開に匹敵する大ニュースのはずですが、ここまでさんざんイーロン・マスクに振り回されてきたTwitterのユーザとして、彼の発表をどこまで信用してよいのか分からず、気持ちがついてこないというのが正直なところです。