OpenSSLの重要な価値およびOracleの貢献

※ 本記事は、Philip Wilkins, Denis Gauthierによる”The critical value of OpenSSL and Oracle’s contribution“を翻訳したものです。

よく引用されるオープンソース統計は、80%以上の製品がオープンソースの要素を持っているということです。最近、Gartnerは、「オープンソース・ソフトウェア(OSS)は、世界中のIT組織の95%以上が、それを認識しているかどうかにかかわらず、ミッションクリティカルなITワークロード内で使用されています」と述べました。(CTOのオープンソース・ソフトウェア・ガイド: FAQトップ10への回答 2022年9月 – ID G00776470)

Transport Layer Security (TLS)を使用する場合、OpenSSL実装のインスタンスの形式でオープン・ソースを再度使用している可能性があります。OpenSSLは、暗号化、TLS通信およびデジタル証明書管理をサポートするツールキットを提供します。これは、ほとんどの主要なオペレーティング・システム(RedHat、Debian、MacOS、OracleのLinuxなど)の一部としてデプロイされます。OpenSSLは、HTTPSが必要な場合に、NGINXやApacheなどのWebサーバーとともによく使用されます。これは、スーパーコンピュータから組み込みシステムまで、あらゆるものに当てはまります。それは火星の表面のRover(探査車)でも走っています。

OracleとOpenSSLの関係

OpenSSLは、あらゆる場所に表示され、クラウドベースのサービスと基盤となるOSの通信を保護するのに役立つ重要なテクノロジです。Oracleは、暗号化データと通信セキュリティを提供する戦略的ライブラリとしてOpenSSLを採用しています。Oracleは自社の製品に独自の暗号化ソフトウェア・スタックを実装できますが、それはLinusの法律の利点に欠けていることを意味します。コード・ベースを使用および保守する人が増えるほど、バグが簡単に見つかるという考え方です。バグが見つかった場合、バグをできるだけ迅速に修正することに関心が高まります。これらの特性はすべて、セキュリティの提供を中心としたソフトウェアにとって非常に望ましいものです。

OracleのOpenSSLとの連携は、単に採用するだけでは終わりません。OpenSSLが当社の製品のセキュリティの中心であることを考えると、当社がそれを維持するのは当然です。オープン・ソース・チームは、コミュニティの参加を受け入れ、Oracleの要件を満たし、コミュニティ全体を支援するコードを提供することを検討しています。世界最先端の暗号化ツールキットとしての地位を維持するために、OpenSSLはセキュリティ標準で進化し、新しい暗号化プリミティブを実装し、コミュニティが発見した脆弱性に迅速に対処する必要があります。Oracleは、コミュニティへの積極的な参加者およびコントリビュータとして、OpenSSLを保護するアクティビティをサポートしています。実際には、この目標にはいくつかの意味がありますが、主な目標はエンジニアリングの取り組みです。

OpenSSLは最近、暗号化ツールキットから暗号化フレームワークに移行してモジュール性と拡張性を高めることで、内部を再設計するための主要な行程を完了しました。Oracleは、OpenSSL 3.0でこれらの変更を実装したコア開発チームの一員でした。APIの変更は軽微なものであったため、OpenSSLを使用している人にとって影響は少なかったです。新しいアーキテクチャにより、OpenSSLはFederal Information Processing Standard Publication (FIPS) 140の規制コンプライアンス・コードをモジュール化できるため、FIPS標準が進化し、FIPSに関心のないユーザーのためにOpenSSLの他の部分からそれらの変更を分離するにつれて、更新が容易になります。

モジュラリティにより、組織は、標準化を完了していない実験的なポスト量子暗号や、より広範なコミュニティに適していないニッチなソリューションなど、プロバイダと呼ばれるモジュールに独自の暗号化実装をプラグインすることもできます。このモジュール性により、OpenSSLはコードのフォークを必要とせずにカスタマイズ可能になります。このような大きな変化は、単なるコーディング作業ではなく、Oracleの1人を含む11人のメンバーで構成されるOpenSSLのコア開発チームであるOpenSSL技術委員会(OTC)への関与が必要です。

OpenSSL技術委員会(OTC)へのOracleの参加

技術委員会への参加は、すべての利益のために知識があり、熟練し、勤勉な貢献者として認められているため、OpenSSLチームによってその役割にノミネートされたことから生じます。OTCに対するOracleの表現は、コミットメントの深さを反映しています。

Oracleは、すべての主要な機能に関与しているわけではありませんが、OpenSSLのテストの改善などの日常的なタスクでも、各リリースを支援したいと考えています。私たちはコミュニティの一員ですから、それがコミュニティにとって良いことなら、私たちのビジネスにも良いことです。FIPS 140のような私たちの関心を具体的に示すものがあれば、FIPS 140をモジュール化するために暗号フレームワークに移行するなど、このソリューションはすべての人に利益をもたらすように設計されなければならないことを理解しています。

なぜFIPS 140への準拠が重要なのでしょうか? FIPSは、National Institute of Standards and Technology (NIST)によって定義された承認済みアルゴリズムの使用など、暗号化ソリューションの要件と分類を設定します。Oracleは安全なソリューションを提供することを自負していますが、定義された要件に準拠するための独立した認証のみが、それが安全であることを証明できます。より機密性の高い環境では、その認証が必要です。たとえば、Federal Risk and Authorization Management Program (FedRAMP)は、連邦政府サービスがクラウド・サービスの導入をコスト効率よく評価するための標準化された方法を提供し、その評価の一部はFIPS 140の要件を満たす機能です。この目的のために、Oracleは、OpenSSL FIPS検証作業のスポンサおよびコード・コントリビュータでした。

まとめ

LinuxカーネルへのOracleの貢献と同様に、この作業では、Cloud Native Computing Foundation (CNCF)でサポートされているプロジェクトなどのプロジェクトのプロファイルが得られない場合があります。それでも、この作業はあらゆる場所のITシステムのセキュリティに不可欠であり、クラウド導入を可能にするために不可欠です。

このブログ投稿を読んでいるあなたは、OpenSSLを利用しています。OpenSSLの詳細は、OpenSSLを参照してください。