日本企業のソフトウェアサプライチェーンリスクの認識はまだ低い–シノプシス

今回は「日本企業のソフトウェアサプライチェーンリスクの認識はまだ低い–シノプシス」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 日本シノプシス ソフトウェア・インテグリティ・グループはプレス向け説明会を開催し、グローバルで実施したソフトウェア・サプライチェーン・セキュリティ・リスクの状況に関する調査の結果を紹介した。

 同調査は、安全なソフトウェアサプライチェーンの実現に取り組む組織に属し、組織のソフトウェアサプライチェーンセキュリティ戦略に一定の責任を持つIT担当者とITセキュリティ担当者1278人を対象に実施された。北米(613人)、ヨーロッパ/中東/アフリカ(EMEA)(362人)、日本(303人)からの回答を得たという。

 説明を行ったシニア・テクニカル・マーケティング・マネージャの松岡正人氏は、回答者の属性情報について「日本は製品セキュリティアナリストや最高技術責任者(CTO)の割合が高い」「ソフトウェア部品表(SBOM)が求められる規制対象の医療機器や自動車などの製造業の割合は低い」「日本は北米と比べて中小企業が多い」といった特徴を紹介した。

 「ソフトウェアサプライチェーン攻撃の有無と時期」については、回答者の過半数が「ソフトウェアサプライチェーンの攻撃や悪用による影響を受けたことがある」と回答し、時期については過去2年ほどで増加傾向にあることが分かった。

 攻撃の根本原因と対応に要した期間では、地域ごとに多少のばらつきはあるものの、日本では攻撃や悪用の根本原因として最多だったのは「パッチ未適用のオープンソースの既知の脆弱(ぜいじゃく)性」で27%、以下「ゼロデイ脆弱性」(23%)、「ビルドパイプラインへの、悪意あるコード/マルウェアのインジェクション」(21%)、「悪意のある依存関係」(20%)が続いている(図1)。

 攻撃に対応するのに要した期間は、日本の最多は「1~3カ月」で25%、「1日未満」も11%あった一方、「6カ月超」も10%あった。

 ソフトウェアサプライチェーンリスクを把握するための評価については、評価の手法として「実行中のアプリケーションのインタラクティブ解析、または動的解析」「ソースコードのレビュー」「ビルド後の依存関係解析、あるいはアーティファクト解析」「ビルド前の依存関係解析」がある(図2)。

 4つの手法のうちの3つについては、地域別順位が北米、EMEA、日本の順になっており、日本が導入率で最下位という結果だった。唯一順位が異なっていた「ビルド後の依存関係解析、あるいはアーティファクト解析」はEMEA、日本、北米の順となっており、ほかの手法は比較的導入率が高い北米での導入率が低いという結果になっている。

 松岡氏はこの結果について「日本の調査結果で悪意あるパッケージの影響を低減するためのソフトウェアの評価の割合が低いのは、サプライチェーンを通じたリスク混入に対する意識が低い可能性がある」とコメントした。

 さらに、サードパーティ製のソフトウェアに対する評価では「実行中のアプリケーションの脅威に対する継続的な監視」と「実行中のアプリケーションの動的解析」の導入率で日本が最下位で、「提供されたSBOMと既知の悪意あるパッケージやマルウェアとの比較」の導入率はトップ、「アプリケーションの依存関係のバイナリ解析」は北米に次ぐ2位となっていた(図3)。こちらでもリスク意識の低さがうかがえると同時に、より導入しやすい静的な解析手法などから導入が始まっている印象であり、まだまだ対応が始まったばかりという印象も受ける。

 同氏はさらに「ソフトウェアサプライチェーンにおけるオープンソースソフトウェア(OSS)の保護」「ソフトウェアサプライチェーンにおける商用ソフトウェア(COTS)の保護」「セキュアソフトウェア開発ライフサイクル(SSDLC)におけるサプライチェーンセキュリティ対策」「SSDLCにおけるAIの使用とソフトウェアサプライチェーンのセキュリティへの影響」「ソフトウェアサプライチェーンのセキュリティにおけるSBOMの役割」といったテーマについて調査結果を紹介した上で、最後に「調査結果に基づく、ソフトウェアサプライチェーンのリスク軽減の推奨事項」を5項目挙げた。

 「アプリケーションの全ての構成要素(特にサードパーティー製)を可視化する」「ソースコード、ファイル、コンテナー、アーティファクト内のオープンソースの依存関係を検出、追跡、管理する」「ソフトウェアサプライチェーンのセキュリティを確保するには、継続的な監視によって新しい脆弱性のリスクステータスとそのリスクの重大度を検出することが重要であると理解する」「AIが生成するコードには大きな利点がある一方で、評価とアセスメントを要するセキュリティ上のリスクがあることを理解する」「SBOMを管理することはベストプラクティスであり、ソフトウェアサプライチェーンのセキュリティプログラムを成功させる鍵である」というものだ。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
I-PEX、SAP ERPからS/4HANA Cloudなどへの移行を決定
IT関連
2021-03-10 15:28
2022年に注視すべきセキュリティと5つのビジネスリスク
IT関連
2022-01-19 22:58
「Windows 11」、AI搭載「Bing」をタスクバーに追加–最新アップデートで
IT関連
2023-03-02 13:35
映画「スラムダンク」予告動画、計530万回再生 発表から2日で 「幅広い年代から支持」と東映
くらテク
2021-08-17 08:02
マイクロソフト、「Windows 11 21H2」に「22H2」への自動更新を開始
IT関連
2023-01-31 05:25
秋葉原などのメイドカフェ、ビデオ通話でリモート接客 約60店舗でスタート
社会とIT
2021-01-26 18:06
社員の「プロアクティブ度」、40代で落ち込む傾向–日本総研ら調査
IT関連
2023-06-08 11:05
Preferred Roboticsが6億円調達、旭化成ホームズと家庭向け自律移動ロボ開発や三井住友銀行と自律移動ロボの決済機能開発
IT関連
2022-03-23 07:56
米政府、ランサムウェア対策を自己評価できるツールを公開
IT関連
2021-07-05 18:40
セールスフォース・ドットコム、教育機関向けCRM基盤の国内提供を開始
IT関連
2021-05-07 18:06
フルスタックエンジニアから「フルサイクルエンジニア」へ。和田卓人氏による「組織に自動テストを根付かせる戦略」(その3)。ソフトウェア品質シンポジウム2022
CI/CD
2022-09-27 17:14
韓国NAVERがユーザーがオリジナル作品を10億本以上公開するストーリープラットフォームWhattpadを買収
ネットサービス
2021-01-21 10:32
グーグル、ソフトウェアサプライチェーンのインテグリティ保証に向け「SLSA」フレームワーク提案
IT関連
2021-06-21 20:49
IBM、「GraphQL」API構築支援企業StepZenを買収
IT関連
2023-02-18 05:26