オープン・ソース・ソフトウェア（OSS）は、ソースコードが公開され、誰もが自由に利用や修正、再配布が可能なソフトウェアです。現代では、金融分野をはじめとして、あらゆる分野でOSSがソフトウェア開発に欠かせない存在（社会インフラ）となっています。

金融研究所の情報技術研究センター（CITECS）では、「OSSのセキュリティ」をテーマとした第23回情報セキュリティ・シンポジウムを2023年3月3日にオンライン形式で開催しました。

今回のシンポジウムでは、金融分野においてOSSを安全に利用していくことを展望しました。

OSSが想定している開発の世界観や脆弱性対応の難点、金融業界における取り組み、機械学習に特有の新たなリスクなどに関して、3名の外部有識者による講演とパネル・ディスカッションを行いました。

シンポジウムの参加者は、金融機関やフィンテック企業の実務者、システム開発・運用に携わる技術者、研究者など約150名にのぼり、この問題への関心の高まりが伺われました。以下ではその概要を簡単にご紹介します。

なお、シンポジウムにおける講演の模様やパネル・ディスカッションの詳細については、準備が整い次第、下記のリンク先にて公表する予定です。また、講演資料も下記のリンク先に掲載しています。

講演１では、真鍋敬士氏（JPCERTコーディネーション・センター[1]理事）より、OSSの世界観とその背景にある基本的な考え方、OSSの社会的位置づけの変遷、脆弱性対応の一連の流れと難所などについて、実例を交えながらご紹介いただきました。
真鍋氏によれば、20世紀におけるソフトウェアは、社会の「資源」として捉えられていましたが、OSSはその一部に過ぎませんでした。これが、21世紀になると、さまざまなOSSが情報システムに広く組み込まれ、社会インフラの「担い手」になりました。

また、OSS同士やOSSと他のソフトウェアとの依存関係がますます複雑となる中、脆弱性対応はより困難化している、との説明がありました。

講演２では、鎌田敬介氏（金融ISAC[2]専務理事）より、金融ISACの活動、OSSの特性を踏まえた脆弱性対応の難点や留意点、対策技術や海外の動向などについてご紹介いただきました。
金融ISACでは、金融業界のサイバー・セキュリティ分野における「共助」の実現を目標の1つとして掲げています。鎌田氏からは、一般論として、ソフトウェアの脆弱性に関する情報が公表された際に、個々の金融機関がその脅威の大きさを判定して迅速に対応するのは容易でなく、金融機関間における共助が重要になるとの説明がありました。

また、普段から自社の情報システムでどのようなOSSを利用しているかを把握している金融機関は多くないとの報告がありました。

OSSの利用が不可避となった現在、金融機関は、OSSの脆弱性を突いた攻撃を行うプログラム・ソースコードが流通しやすい状況にあることを意識して脆弱性対応を行う必要があるとの指摘がありました。その対応にあたり、未だ発展途上であるとしつつも、ソフトウェアの構成管理表（SBOM）やOSSの安全性指標を活用する考え方が登場していることが紹介されました。

【次ページ】機械学習に関する論点とパネルディスカッション