IBMとRed Hatは5月28日(米国時間)、オープンソース・ソフトウェアのセキュリティ強化を目的に、最先端AIと2万人以上のグローバルなエンジニアの力を活用した総額50億ドル規模の投資「Project Lightwell」を発表した。
この取り組みにより、オープンソースの上流開発から本番環境までを一貫して支える、エンタープライズ向けの新たな利用モデルを確立する。
Project Lightwellは、信頼性の高いエンタープライズ向けクリアリングハウスと、グローバル規模のエンジニア体制を組み合わせることで、大規模に脆弱性を特定し修正する。
クリアリングハウスはセキュリティ連携レイヤーとして機能し、フロンティアAIモデルを活用して、これまでに例のない規模のオープンソース・コードに対する修正の検証およびテストを実施する。これらの機能は商用サブスクリプションとして提供され、企業はエンタープライズ・グレードの検証およびライフサイクル管理のもと、安全なパッチを既存のソフトウェア・サプライチェーンに直接統合できるようになる。
オープンソース・ソフトウェア(OSS)は現代の企業インフラの基盤であり、Fortune 500企業の90%以上がOSSに依存している。同時に、先進的なAIの進展により、脆弱性の発見および悪用のスピードも加速している。Anthropic社は最近、同社のMythos Previewモデルが、オープンソース・ソフトウェアのみにおいても約3900件の高リスクまたは重大な脆弱性を特定したと報告している。
IBMとRed Hatはすでに、バンク・オブ・アメリカ、バンク・オブ・ニューヨーク・メロン、Citi、ゴールドマン・サックス、JPMorganChase、マスターカード社、モルガン・スタンレー、ロイヤル・バンク・オブ・カナダ、ステート・ストリート、Visa社、ウェルス・ファーゴなどの企業と連携し、Project Lightwellの初期導入を進めている。これらの実運用から得られる知見は、複雑なソフトウェア・サプライチェーンにおける脆弱性の特定、検証、修正プロセスの高度化に反映される。
Project Lightwellは、IBMとRed Hatがオープンソース、エンタープライズAI、セキュリティ分野で確立してきたリーダーシップを基盤とし、Anthropic社のProject GlasswingやOpenAI社のTrust Access for Cyberなどの取り組みからの知見を取り入れている。
また、最新のIBMのエージェント型セキュリティ手法を活用し、現代の企業およびAIシステムを支える基盤となるオープンソース層の保護を目的としている。
信頼できるオープンソース・セキュリティ・クリアリングハウスの立ち上げ
Project Lightwellは、IBMとRed Hatがこれまで実績を積み重ねてきたエンタープライズ向けオープンソース・モデルを基盤とし、それを従来の製品範囲を超えて拡張するものである。
IBMはすでに6万2000以上のオープンソース・パッケージを活用し、そのうち1万以上について深い専門知識を有している。Linux、Java、Kubernetes、Kafka、Ansible、Terraform、Flink、Cassandraなどの技術領域において、両社は業界でも有数の広範な商用オープンソース・エコシステムを運営しており、これまで自社プラットフォーム内のコンポーネントに対して、ライフサイクル管理、検証、パッチ提供を行ってきた。
現在、IBMとRed Hatは同様のエンジニアリング規律を、独立系ライブラリー、言語ツールチェーン、AIフレームワーク、データ・ストリーミング・プラットフォームなどを含む、より広範なアプリケーション領域へ適用している。
このアプローチは、企業が独自にオープンソース・コードを管理する際に直面する運用上の脆弱性に直接対応するものである。クリアリングハウス・モデルを通じて、企業は以下を実現できる。
◎脆弱性の報告と解決
信頼された中立的な枠組みのもとで、機密性の高いセキュリティ問題を共有・対応
◎検証済みパッチの適用
Red Hatの製品およびコミュニティ・コード双方に対応した、本番環境向けに最適化されたパッチを取得
◎上流へのフィードバック連携
修正内容をオープンソース・コミュニティへ還元
グローバル規模で展開するAI主導のエンジニアリング
多くのテクノロジー企業がAIを活用して技術系人員の削減を進める中、IBMとRed Hatは異なるアプローチを採用し、技術的なエンジニアリング能力をプレミアムな戦略資産であり、市場における差別化の源泉として位置付けている。
IBMとRed Hatは、先進的なAI機能を活用する、2万人以上のエンジニア・チームを展開する。このグローバルな技術チームは、上流から企業環境まで幅広く活動し、以下の分野に注力する。
・オープンソース・コミュニティと連携した上流保守
・AI支援による大規模な脆弱性のレビューと優先順位付け
・セキュアなパッチ開発、依存関係の強化、リリース・エンジニアリング
Project Lightwellは、デジタル基盤のセキュリティ確保、重要システムの保護、およびオープンソース・ソフトウェア・エコシステム全体のレジリエンス強化に関する米国政府の優先事項を支援する。
[i Magazine・IS magazine]
