日本企業のソフトウェアサプライチェーンリスクの認識はまだ低い–シノプシス

今回は「日本企業のソフトウェアサプライチェーンリスクの認識はまだ低い–シノプシス」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 日本シノプシス ソフトウェア・インテグリティ・グループはプレス向け説明会を開催し、グローバルで実施したソフトウェア・サプライチェーン・セキュリティ・リスクの状況に関する調査の結果を紹介した。

 同調査は、安全なソフトウェアサプライチェーンの実現に取り組む組織に属し、組織のソフトウェアサプライチェーンセキュリティ戦略に一定の責任を持つIT担当者とITセキュリティ担当者1278人を対象に実施された。北米(613人)、ヨーロッパ/中東/アフリカ(EMEA)(362人)、日本(303人)からの回答を得たという。

 説明を行ったシニア・テクニカル・マーケティング・マネージャの松岡正人氏は、回答者の属性情報について「日本は製品セキュリティアナリストや最高技術責任者(CTO)の割合が高い」「ソフトウェア部品表(SBOM)が求められる規制対象の医療機器や自動車などの製造業の割合は低い」「日本は北米と比べて中小企業が多い」といった特徴を紹介した。

 「ソフトウェアサプライチェーン攻撃の有無と時期」については、回答者の過半数が「ソフトウェアサプライチェーンの攻撃や悪用による影響を受けたことがある」と回答し、時期については過去2年ほどで増加傾向にあることが分かった。

 攻撃の根本原因と対応に要した期間では、地域ごとに多少のばらつきはあるものの、日本では攻撃や悪用の根本原因として最多だったのは「パッチ未適用のオープンソースの既知の脆弱(ぜいじゃく)性」で27%、以下「ゼロデイ脆弱性」(23%)、「ビルドパイプラインへの、悪意あるコード/マルウェアのインジェクション」(21%)、「悪意のある依存関係」(20%)が続いている(図1)。

 攻撃に対応するのに要した期間は、日本の最多は「1~3カ月」で25%、「1日未満」も11%あった一方、「6カ月超」も10%あった。

 ソフトウェアサプライチェーンリスクを把握するための評価については、評価の手法として「実行中のアプリケーションのインタラクティブ解析、または動的解析」「ソースコードのレビュー」「ビルド後の依存関係解析、あるいはアーティファクト解析」「ビルド前の依存関係解析」がある(図2)。

 4つの手法のうちの3つについては、地域別順位が北米、EMEA、日本の順になっており、日本が導入率で最下位という結果だった。唯一順位が異なっていた「ビルド後の依存関係解析、あるいはアーティファクト解析」はEMEA、日本、北米の順となっており、ほかの手法は比較的導入率が高い北米での導入率が低いという結果になっている。

 松岡氏はこの結果について「日本の調査結果で悪意あるパッケージの影響を低減するためのソフトウェアの評価の割合が低いのは、サプライチェーンを通じたリスク混入に対する意識が低い可能性がある」とコメントした。

 さらに、サードパーティ製のソフトウェアに対する評価では「実行中のアプリケーションの脅威に対する継続的な監視」と「実行中のアプリケーションの動的解析」の導入率で日本が最下位で、「提供されたSBOMと既知の悪意あるパッケージやマルウェアとの比較」の導入率はトップ、「アプリケーションの依存関係のバイナリ解析」は北米に次ぐ2位となっていた(図3)。こちらでもリスク意識の低さがうかがえると同時に、より導入しやすい静的な解析手法などから導入が始まっている印象であり、まだまだ対応が始まったばかりという印象も受ける。

 同氏はさらに「ソフトウェアサプライチェーンにおけるオープンソースソフトウェア(OSS)の保護」「ソフトウェアサプライチェーンにおける商用ソフトウェア(COTS)の保護」「セキュアソフトウェア開発ライフサイクル(SSDLC)におけるサプライチェーンセキュリティ対策」「SSDLCにおけるAIの使用とソフトウェアサプライチェーンのセキュリティへの影響」「ソフトウェアサプライチェーンのセキュリティにおけるSBOMの役割」といったテーマについて調査結果を紹介した上で、最後に「調査結果に基づく、ソフトウェアサプライチェーンのリスク軽減の推奨事項」を5項目挙げた。

 「アプリケーションの全ての構成要素(特にサードパーティー製)を可視化する」「ソースコード、ファイル、コンテナー、アーティファクト内のオープンソースの依存関係を検出、追跡、管理する」「ソフトウェアサプライチェーンのセキュリティを確保するには、継続的な監視によって新しい脆弱性のリスクステータスとそのリスクの重大度を検出することが重要であると理解する」「AIが生成するコードには大きな利点がある一方で、評価とアセスメントを要するセキュリティ上のリスクがあることを理解する」「SBOMを管理することはベストプラクティスであり、ソフトウェアサプライチェーンのセキュリティプログラムを成功させる鍵である」というものだ。

元記事: https://japan.zdnet.com/article/35221039/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
IBM、433量子ビット搭載の量子プロセッサー「Osprey」を発表
IT関連
2022-11-12 05:58
「GNOME」ベースの「Linux」でDNSサーバーを変更するには
IT関連
2024-01-05 16:21
生成AIがDockerを使った開発の質問に答えてくれる「Docker AI」発表、Dockerfileのエラーなども修正。VSCode対応。DockerCon 23
Docker
2023-10-12 20:17
西武鉄道、3D画像センサーで踏切異常を高精度に検知–踏切事故を未然に防止
IT関連
2022-11-12 01:06
Argo AIがカリフォルニア州で自動運転車に一般客を乗せる許可を取得
IT関連
2021-08-02 00:50
マイクロソフト、欧州顧客向けに新たなデータストレージの選択肢を提供へ
IT関連
2021-05-07 11:15
スクラムベンチャーズが日本企業とスタートアップをつなぐ新プログラムを開始
VC / エンジェル
2021-03-07 21:54
DeepL、「エンタープライズ企業向けDeepL」発表–企業特化型の新たな言語AIソリューシ
IT関連
2024-06-08 20:38
映画「閃光のハサウェイ」公開延期 5月21日から 舞台挨拶は中止に
くらテク
2021-04-27 13:27
TikTok運営元のバイトダンス、オープンソース特許ネットワークのOINに加盟
IT関連
2021-08-19 00:25
和歌山発glafitの電動ハイブリッドバイク「GFR」が自転車・電動バイク車両区分の切り替えが認められた日本初の車体に
モビリティ
2021-07-06 16:40
アップルの「マップ」に道路情報やスピード違反の取り締まりを報告する機能追加
ソフトウェア
2021-02-12 12:04
オンライン授業導入に差、大阪市の小中
IT関連
2021-04-29 12:05
Spectee、「Spectee Supply Chain Resilience」提供–サプライチェーンのレジリエンス実現
IT関連
2023-12-01 15:21