OSSの84%に脆弱性…ソフトウェアサプライチェーンに潜む脅威が「命取り」になる理由
記事をお気に入りリストに登録することができます。
昨今、ソフトウェアの開発規模は大規模化し、マルチクラウド環境での開発、OSSやコンテナの利用、外部ツールの統合、テスト、デプロイメントなど、開発から配布されるまでの過程も複雑化している。このように絡み合ったサプライチェーンは、悪意のあるサイバー攻撃者にとって絶好のターゲットとなる。自社のソフトウェアだけをセキュアに保っていれば安全だった時代が終わった今、ソフトウェア開発におけるプロセスの透明化とセキュリティ対策について、企業はどのように進めればよいのだろうか。
(Photo/Shutterstock.com)
世界各国で注目される「SSCRM」の重要性
デジタルトランスフォーメーション(DX)の進展もあり、昨今のソフトウェア開発はさらに大規模化、複雑化している。ここで言うソフトウェアやサービスには、組織内のファーストパーティーの開発コンポーネントだけではなく、サードパーティーベンダーやオープンソースソフトウェア(OSS)、外部委託先で作成されたコンポーネントが含まれる。
それに伴って重要になってきたのが、ソフトウェアサプライチェーンセキュリティ(以下、SSCRM)である。ソフトウェアサプライチェーンとは、ソフトウェア開発ライフサイクルを通して、アプリケーションの開発に寄与するあらゆるものを指す。
SSCRMとは、ソフトウェアサプライチェーン全体でリスク管理を行うことだ。ソフトウェアサプライチェーン内に潜むリスクを特定し対策を打つことで、ソフトウェアライフサイクル全体のセキュリティや完全性、信頼性を確保することを主な目的とする。
SSCRMが重要視されるようになった背景には、前述のソフトウェア開発大規模化に加え、サイバー攻撃が激化していること、被害事例が各国で増えてきていることなどがある。SSCRMを徹底しなければ、もはやユーザーの安全性を守りきることは難しい。
実際に、米国ではソフトウェアサプライチェーンセキュリティの強化が大統領令に盛り込まれており、政府組織へ納入するソフトウェアについては特に厳格なリスク管理が求められるようになった。これに対応するために、各業界ではソフトウェア開発における透明性の確保やセキュリティ管理の見直しに乗り出している。2022年には、日本でもデジタル庁がSBOM(Software Bill of Materials:ソフトウェア部品表)を調達ガイドラインに記載した。
そこでここからは、今後ますます求められるソフトウェア開発におけるプロセスの透明化とセキュリティ対策について、具体的にどのように進めていけばよいのかを探っていく。
それに伴って重要になってきたのが、ソフトウェアサプライチェーンセキュリティ(以下、SSCRM)である。ソフトウェアサプライチェーンとは、ソフトウェア開発ライフサイクルを通して、アプリケーションの開発に寄与するあらゆるものを指す。
SSCRMとは、ソフトウェアサプライチェーン全体でリスク管理を行うことだ。ソフトウェアサプライチェーン内に潜むリスクを特定し対策を打つことで、ソフトウェアライフサイクル全体のセキュリティや完全性、信頼性を確保することを主な目的とする。
SSCRMが重要視されるようになった背景には、前述のソフトウェア開発大規模化に加え、サイバー攻撃が激化していること、被害事例が各国で増えてきていることなどがある。SSCRMを徹底しなければ、もはやユーザーの安全性を守りきることは難しい。
実際に、米国ではソフトウェアサプライチェーンセキュリティの強化が大統領令に盛り込まれており、政府組織へ納入するソフトウェアについては特に厳格なリスク管理が求められるようになった。これに対応するために、各業界ではソフトウェア開発における透明性の確保やセキュリティ管理の見直しに乗り出している。2022年には、日本でもデジタル庁がSBOM(Software Bill of Materials:ソフトウェア部品表)を調達ガイドラインに記載した。
そこでここからは、今後ますます求められるソフトウェア開発におけるプロセスの透明化とセキュリティ対策について、具体的にどのように進めていけばよいのかを探っていく。
この記事の続き >>
-
・脆弱性の残るコードは攻撃者のターゲットになり得る
・SSCRMを実施するための9つのアプローチ
・使用すべきではない・ハイリスクなOSSを使用している割合は「54%」
今すぐビジネス+IT会員にご登録ください。
すべて無料!今日から使える、仕事に役立つ情報満載!
-
ここでしか見られない
2万本超のオリジナル記事・動画・資料が見放題!
-
完全無料
登録料・月額料なし、完全無料で使い放題!
-
トレンドを聞いて学ぶ
年間1000本超の厳選セミナーに参加し放題!
-
興味関心のみ厳選
トピック(タグ)をフォローして自動収集!
関連タグ
タグをフォローすると最新情報が表示されます
