日本企業のソフトウェアサプライチェーンリスクの認識はまだ低い–シノプシス

今回は「日本企業のソフトウェアサプライチェーンリスクの認識はまだ低い–シノプシス」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 日本シノプシス ソフトウェア・インテグリティ・グループはプレス向け説明会を開催し、グローバルで実施したソフトウェア・サプライチェーン・セキュリティ・リスクの状況に関する調査の結果を紹介した。

 同調査は、安全なソフトウェアサプライチェーンの実現に取り組む組織に属し、組織のソフトウェアサプライチェーンセキュリティ戦略に一定の責任を持つIT担当者とITセキュリティ担当者1278人を対象に実施された。北米(613人)、ヨーロッパ/中東/アフリカ(EMEA)(362人)、日本(303人)からの回答を得たという。

 説明を行ったシニア・テクニカル・マーケティング・マネージャの松岡正人氏は、回答者の属性情報について「日本は製品セキュリティアナリストや最高技術責任者(CTO)の割合が高い」「ソフトウェア部品表(SBOM)が求められる規制対象の医療機器や自動車などの製造業の割合は低い」「日本は北米と比べて中小企業が多い」といった特徴を紹介した。

 「ソフトウェアサプライチェーン攻撃の有無と時期」については、回答者の過半数が「ソフトウェアサプライチェーンの攻撃や悪用による影響を受けたことがある」と回答し、時期については過去2年ほどで増加傾向にあることが分かった。

 攻撃の根本原因と対応に要した期間では、地域ごとに多少のばらつきはあるものの、日本では攻撃や悪用の根本原因として最多だったのは「パッチ未適用のオープンソースの既知の脆弱(ぜいじゃく)性」で27%、以下「ゼロデイ脆弱性」(23%)、「ビルドパイプラインへの、悪意あるコード/マルウェアのインジェクション」(21%)、「悪意のある依存関係」(20%)が続いている(図1)。

 攻撃に対応するのに要した期間は、日本の最多は「1~3カ月」で25%、「1日未満」も11%あった一方、「6カ月超」も10%あった。

 ソフトウェアサプライチェーンリスクを把握するための評価については、評価の手法として「実行中のアプリケーションのインタラクティブ解析、または動的解析」「ソースコードのレビュー」「ビルド後の依存関係解析、あるいはアーティファクト解析」「ビルド前の依存関係解析」がある(図2)。

 4つの手法のうちの3つについては、地域別順位が北米、EMEA、日本の順になっており、日本が導入率で最下位という結果だった。唯一順位が異なっていた「ビルド後の依存関係解析、あるいはアーティファクト解析」はEMEA、日本、北米の順となっており、ほかの手法は比較的導入率が高い北米での導入率が低いという結果になっている。

 松岡氏はこの結果について「日本の調査結果で悪意あるパッケージの影響を低減するためのソフトウェアの評価の割合が低いのは、サプライチェーンを通じたリスク混入に対する意識が低い可能性がある」とコメントした。

 さらに、サードパーティ製のソフトウェアに対する評価では「実行中のアプリケーションの脅威に対する継続的な監視」と「実行中のアプリケーションの動的解析」の導入率で日本が最下位で、「提供されたSBOMと既知の悪意あるパッケージやマルウェアとの比較」の導入率はトップ、「アプリケーションの依存関係のバイナリ解析」は北米に次ぐ2位となっていた(図3)。こちらでもリスク意識の低さがうかがえると同時に、より導入しやすい静的な解析手法などから導入が始まっている印象であり、まだまだ対応が始まったばかりという印象も受ける。

 同氏はさらに「ソフトウェアサプライチェーンにおけるオープンソースソフトウェア(OSS)の保護」「ソフトウェアサプライチェーンにおける商用ソフトウェア(COTS)の保護」「セキュアソフトウェア開発ライフサイクル(SSDLC)におけるサプライチェーンセキュリティ対策」「SSDLCにおけるAIの使用とソフトウェアサプライチェーンのセキュリティへの影響」「ソフトウェアサプライチェーンのセキュリティにおけるSBOMの役割」といったテーマについて調査結果を紹介した上で、最後に「調査結果に基づく、ソフトウェアサプライチェーンのリスク軽減の推奨事項」を5項目挙げた。

 「アプリケーションの全ての構成要素(特にサードパーティー製)を可視化する」「ソースコード、ファイル、コンテナー、アーティファクト内のオープンソースの依存関係を検出、追跡、管理する」「ソフトウェアサプライチェーンのセキュリティを確保するには、継続的な監視によって新しい脆弱性のリスクステータスとそのリスクの重大度を検出することが重要であると理解する」「AIが生成するコードには大きな利点がある一方で、評価とアセスメントを要するセキュリティ上のリスクがあることを理解する」「SBOMを管理することはベストプラクティスであり、ソフトウェアサプライチェーンのセキュリティプログラムを成功させる鍵である」というものだ。

元記事: https://japan.zdnet.com/article/35221039/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
凸版印刷、製造DX支援ソリューションにRFID活用の生産実績管理機能を追加
IT関連
2022-03-08 10:35
セールスフォース・ジャパン、「Slack AI」日本語版を4月17日に提供へ
IT関連
2024-03-30 01:13
ランサムウェア被害企業の76%が身代金支払い、約3分の1がデータの復元に失敗
IT関連
2022-05-27 04:05
ポケモンGOの夏フェス、色違いポケモン大量追加に「アンノーン」も チケットは610円に値下げ
くらテク
2021-05-30 00:16
あらゆる「Linux」ディストロをブレンドした「blendOS」–柔軟性が高く美しい仕上がり
IT関連
2024-01-30 03:47
モブプログラミングは、なぜ5人が1台のPCで仕事をしているのに生産的になれるのか(前編)。モブプログラミングの生みの親が解説するその理由と効果とは?
DevOps
2024-09-10 23:53
サムスンの最新フォルダブル「Galaxy Z Fold3」はスタイラス対応、防水仕様、アンダーディスプレイカメラ追加
ハードウェア
2021-08-13 06:48
資金調達でひとり勝ちを続けるアフリカのフィンテック事情
IT関連
2022-01-19 07:51
Okta、「Okta AI」を発表–「AI時代はアイデンティティーがさらに重要に」とCEO
IT関連
2023-10-07 13:09
「macOS」でSSH接続を「Termius」を使って管理するには
IT関連
2022-11-08 11:48
ウマ娘に「体操服」着せられるアップデート配信
くらテク
2021-07-07 17:41
AIでIT運用を強化–「AIOps」導入を検討するべき7つの理由
IT関連
2022-03-12 15:30
「自社株買い」で株価が上がるホントの理由をやさしく解説
IT関連
2021-04-06 18:40
Ruby30周年イベント(前編):Rubyを作る前のまつもと氏が作りかけた、Rubyの原点となるプログラミング言語「Tish」
Ruby
2023-03-02 08:14