日本企業のソフトウェアサプライチェーンリスクの認識はまだ低い–シノプシス

今回は「日本企業のソフトウェアサプライチェーンリスクの認識はまだ低い–シノプシス」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 日本シノプシス ソフトウェア・インテグリティ・グループはプレス向け説明会を開催し、グローバルで実施したソフトウェア・サプライチェーン・セキュリティ・リスクの状況に関する調査の結果を紹介した。

 同調査は、安全なソフトウェアサプライチェーンの実現に取り組む組織に属し、組織のソフトウェアサプライチェーンセキュリティ戦略に一定の責任を持つIT担当者とITセキュリティ担当者1278人を対象に実施された。北米(613人)、ヨーロッパ/中東/アフリカ(EMEA)(362人)、日本(303人)からの回答を得たという。

 説明を行ったシニア・テクニカル・マーケティング・マネージャの松岡正人氏は、回答者の属性情報について「日本は製品セキュリティアナリストや最高技術責任者(CTO)の割合が高い」「ソフトウェア部品表(SBOM)が求められる規制対象の医療機器や自動車などの製造業の割合は低い」「日本は北米と比べて中小企業が多い」といった特徴を紹介した。

 「ソフトウェアサプライチェーン攻撃の有無と時期」については、回答者の過半数が「ソフトウェアサプライチェーンの攻撃や悪用による影響を受けたことがある」と回答し、時期については過去2年ほどで増加傾向にあることが分かった。

 攻撃の根本原因と対応に要した期間では、地域ごとに多少のばらつきはあるものの、日本では攻撃や悪用の根本原因として最多だったのは「パッチ未適用のオープンソースの既知の脆弱(ぜいじゃく)性」で27%、以下「ゼロデイ脆弱性」(23%)、「ビルドパイプラインへの、悪意あるコード/マルウェアのインジェクション」(21%)、「悪意のある依存関係」(20%)が続いている(図1)。

 攻撃に対応するのに要した期間は、日本の最多は「1~3カ月」で25%、「1日未満」も11%あった一方、「6カ月超」も10%あった。

 ソフトウェアサプライチェーンリスクを把握するための評価については、評価の手法として「実行中のアプリケーションのインタラクティブ解析、または動的解析」「ソースコードのレビュー」「ビルド後の依存関係解析、あるいはアーティファクト解析」「ビルド前の依存関係解析」がある(図2)。

 4つの手法のうちの3つについては、地域別順位が北米、EMEA、日本の順になっており、日本が導入率で最下位という結果だった。唯一順位が異なっていた「ビルド後の依存関係解析、あるいはアーティファクト解析」はEMEA、日本、北米の順となっており、ほかの手法は比較的導入率が高い北米での導入率が低いという結果になっている。

 松岡氏はこの結果について「日本の調査結果で悪意あるパッケージの影響を低減するためのソフトウェアの評価の割合が低いのは、サプライチェーンを通じたリスク混入に対する意識が低い可能性がある」とコメントした。

 さらに、サードパーティ製のソフトウェアに対する評価では「実行中のアプリケーションの脅威に対する継続的な監視」と「実行中のアプリケーションの動的解析」の導入率で日本が最下位で、「提供されたSBOMと既知の悪意あるパッケージやマルウェアとの比較」の導入率はトップ、「アプリケーションの依存関係のバイナリ解析」は北米に次ぐ2位となっていた(図3)。こちらでもリスク意識の低さがうかがえると同時に、より導入しやすい静的な解析手法などから導入が始まっている印象であり、まだまだ対応が始まったばかりという印象も受ける。

 同氏はさらに「ソフトウェアサプライチェーンにおけるオープンソースソフトウェア(OSS)の保護」「ソフトウェアサプライチェーンにおける商用ソフトウェア(COTS)の保護」「セキュアソフトウェア開発ライフサイクル(SSDLC)におけるサプライチェーンセキュリティ対策」「SSDLCにおけるAIの使用とソフトウェアサプライチェーンのセキュリティへの影響」「ソフトウェアサプライチェーンのセキュリティにおけるSBOMの役割」といったテーマについて調査結果を紹介した上で、最後に「調査結果に基づく、ソフトウェアサプライチェーンのリスク軽減の推奨事項」を5項目挙げた。

 「アプリケーションの全ての構成要素(特にサードパーティー製)を可視化する」「ソースコード、ファイル、コンテナー、アーティファクト内のオープンソースの依存関係を検出、追跡、管理する」「ソフトウェアサプライチェーンのセキュリティを確保するには、継続的な監視によって新しい脆弱性のリスクステータスとそのリスクの重大度を検出することが重要であると理解する」「AIが生成するコードには大きな利点がある一方で、評価とアセスメントを要するセキュリティ上のリスクがあることを理解する」「SBOMを管理することはベストプラクティスであり、ソフトウェアサプライチェーンのセキュリティプログラムを成功させる鍵である」というものだ。

元記事: https://japan.zdnet.com/article/35221039/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
NEC、「Express5800」サーバーに「高可用性」カテゴリーを追加–3機種投入
IT関連
2024-06-20 02:19
東北電力、新経理システムにSAP S/4HANAを採用
IT関連
2023-11-22 19:08
大阪府が取り組む“子供の居場所づくり” プログラミング教育やeスポーツの場としても活用
IT関連
2021-07-17 16:22
AIは人間の仕事を奪うのか、補助するのか–ビジネスリーダーと専門家の見解
IT関連
2023-12-16 19:27
一般向け製品の技術的優位性が大国間競争に直結、シリコンバレーは原点に立ち返る
IT関連
2022-03-19 21:13
550円の「Raspberry Pi Pico」でIoT その1:気温と湿度、気圧を測定する :名刺サイズの超小型PC「ラズパイ」で遊ぶ(第44回)(1/2 ページ)
アプリ・Web
2021-07-24 16:03
「日本の金融ビジネスを変革するパートナー」を目指す–AWS
IT関連
2021-03-23 02:33
世界に先駆け有機半導体レーザー評価用サンプルの製造・販売を目指す、九州大学発のKOALA Techが4億円調達
ハードウェア
2021-06-30 09:50
ベリサーブ、SBOM構築・運用サービス「SBOM.JP」を発表–製造業向けに
IT関連
2024-09-07 16:44
「Exchange Server」の脆弱性、92%がパッチや緩和策を適用–マイクロソフト
IT関連
2021-03-26 19:44
NTTら9社、ソフトウェア開発におけるCO2排出量の算定ルールを策定
IT関連
2024-04-02 15:27
NTTデータら、Twitter動画広告の効果を向上–「NeuroAI」活用で
IT関連
2021-01-29 05:18
Wovn Technologies、文書ファイル多言語化ソリューション「WOVN.files」ベータ公開
IT関連
2022-12-15 20:29
セキュリティインシデントの調査を体験して得た気づき
IT関連
2022-09-10 04:04