日本企業のソフトウェアサプライチェーンリスクの認識はまだ低い–シノプシス

今回は「日本企業のソフトウェアサプライチェーンリスクの認識はまだ低い–シノプシス」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 日本シノプシス ソフトウェア・インテグリティ・グループはプレス向け説明会を開催し、グローバルで実施したソフトウェア・サプライチェーン・セキュリティ・リスクの状況に関する調査の結果を紹介した。

 同調査は、安全なソフトウェアサプライチェーンの実現に取り組む組織に属し、組織のソフトウェアサプライチェーンセキュリティ戦略に一定の責任を持つIT担当者とITセキュリティ担当者1278人を対象に実施された。北米(613人)、ヨーロッパ/中東/アフリカ(EMEA)(362人)、日本(303人)からの回答を得たという。

 説明を行ったシニア・テクニカル・マーケティング・マネージャの松岡正人氏は、回答者の属性情報について「日本は製品セキュリティアナリストや最高技術責任者(CTO)の割合が高い」「ソフトウェア部品表(SBOM)が求められる規制対象の医療機器や自動車などの製造業の割合は低い」「日本は北米と比べて中小企業が多い」といった特徴を紹介した。

 「ソフトウェアサプライチェーン攻撃の有無と時期」については、回答者の過半数が「ソフトウェアサプライチェーンの攻撃や悪用による影響を受けたことがある」と回答し、時期については過去2年ほどで増加傾向にあることが分かった。

 攻撃の根本原因と対応に要した期間では、地域ごとに多少のばらつきはあるものの、日本では攻撃や悪用の根本原因として最多だったのは「パッチ未適用のオープンソースの既知の脆弱(ぜいじゃく)性」で27%、以下「ゼロデイ脆弱性」(23%)、「ビルドパイプラインへの、悪意あるコード/マルウェアのインジェクション」(21%)、「悪意のある依存関係」(20%)が続いている(図1)。

 攻撃に対応するのに要した期間は、日本の最多は「1~3カ月」で25%、「1日未満」も11%あった一方、「6カ月超」も10%あった。

 ソフトウェアサプライチェーンリスクを把握するための評価については、評価の手法として「実行中のアプリケーションのインタラクティブ解析、または動的解析」「ソースコードのレビュー」「ビルド後の依存関係解析、あるいはアーティファクト解析」「ビルド前の依存関係解析」がある(図2)。

 4つの手法のうちの3つについては、地域別順位が北米、EMEA、日本の順になっており、日本が導入率で最下位という結果だった。唯一順位が異なっていた「ビルド後の依存関係解析、あるいはアーティファクト解析」はEMEA、日本、北米の順となっており、ほかの手法は比較的導入率が高い北米での導入率が低いという結果になっている。

 松岡氏はこの結果について「日本の調査結果で悪意あるパッケージの影響を低減するためのソフトウェアの評価の割合が低いのは、サプライチェーンを通じたリスク混入に対する意識が低い可能性がある」とコメントした。

 さらに、サードパーティ製のソフトウェアに対する評価では「実行中のアプリケーションの脅威に対する継続的な監視」と「実行中のアプリケーションの動的解析」の導入率で日本が最下位で、「提供されたSBOMと既知の悪意あるパッケージやマルウェアとの比較」の導入率はトップ、「アプリケーションの依存関係のバイナリ解析」は北米に次ぐ2位となっていた(図3)。こちらでもリスク意識の低さがうかがえると同時に、より導入しやすい静的な解析手法などから導入が始まっている印象であり、まだまだ対応が始まったばかりという印象も受ける。

 同氏はさらに「ソフトウェアサプライチェーンにおけるオープンソースソフトウェア(OSS)の保護」「ソフトウェアサプライチェーンにおける商用ソフトウェア(COTS)の保護」「セキュアソフトウェア開発ライフサイクル(SSDLC)におけるサプライチェーンセキュリティ対策」「SSDLCにおけるAIの使用とソフトウェアサプライチェーンのセキュリティへの影響」「ソフトウェアサプライチェーンのセキュリティにおけるSBOMの役割」といったテーマについて調査結果を紹介した上で、最後に「調査結果に基づく、ソフトウェアサプライチェーンのリスク軽減の推奨事項」を5項目挙げた。

 「アプリケーションの全ての構成要素(特にサードパーティー製)を可視化する」「ソースコード、ファイル、コンテナー、アーティファクト内のオープンソースの依存関係を検出、追跡、管理する」「ソフトウェアサプライチェーンのセキュリティを確保するには、継続的な監視によって新しい脆弱性のリスクステータスとそのリスクの重大度を検出することが重要であると理解する」「AIが生成するコードには大きな利点がある一方で、評価とアセスメントを要するセキュリティ上のリスクがあることを理解する」「SBOMを管理することはベストプラクティスであり、ソフトウェアサプライチェーンのセキュリティプログラムを成功させる鍵である」というものだ。

元記事: https://japan.zdnet.com/article/35221039/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
Amazon S3が不正なリクエストでも利用料が加算される現象、AWSが修正を完了したと報告
AWS
2024-05-20 09:29
グーグル、新たなセキュリティサービス–AWSやAzureに対応
IT関連
2024-03-17 21:15
PCデポ、HISから出向受け入れ 最大400人、顧客の“デジタル担当者”に
企業・業界動向
2021-02-09 05:56
NEC X、EC向けコメント分析サービスを提供するAI企業を設立
IT関連
2022-02-19 18:38
マイクロソフト、「HoloLens 2」の生産を終了へ–後継機の予定は不明
IT関連
2024-10-03 23:35
マイクロソフトが産業別DX支援をゲームにも拡大へ
IT関連
2021-05-19 00:57
小売業を変革する「九州リテールメディアフェデレーション」発足–トライアルら参画
IT関連
2024-01-30 14:07
ウクライナの国防省サイトや大手銀行にサイバー攻撃
IT関連
2022-02-17 06:12
大学生向けノート共有ネットワークを提供するStuDocuがユーザー数1500万人突破
EdTech
2021-06-01 05:03
1台でPCとモバイル両方のUXを実現、Androidアプリも動くLinuxベースの「JingOS」を開発する中国Jingling
ハードウェア
2021-06-17 07:53
Nintendo Switchに「関数電卓」配信開始 学生やエンジニアの利用を想定
連載チーム
2021-06-25 06:43
ウェブプラットフォームのドキュメンテーションを支援する「Open Web Docs」立ち上げ–MSやグーグルら
IT関連
2021-01-26 12:17
「Amazon S3より80%安い」– Wasabi Technologies、APAC地域の本社を日本に設立
IT関連
2021-06-25 01:48
「人材」ではなく「人財」をうたう企業への“底知れぬ違和感”
IT関連
2023-04-25 01:21