「自社開発アプリにOSSが組み込まれていること」はリスクか？　調査結果が示す懸念と対策：34％の企業が「OSSの脆弱性を悪用された経験」を持つ

日本シノプシスは、サイバーセキュリティに携わる意思決定者を対象とした調査の結果を発表した。同社は「ソフトウェアサプライチェーンのリスクが、オープンソース自体の問題を超えて広がっている現状が明らかになった」としている。

» 2022年09月02日 08時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　日本シノプシスは2022年8月30日、サイバーセキュリティに携わる意思決定者を対象とした調査の結果を発表した。それによると、ソフトウェアサプライチェーンのリスクがオープンソース自体の問題を超えて広がっていることが分かった。

99％の企業が「今後1年以内にOSSを利用する」

　調査結果によると、自社のソフトウェアサプライチェーンを守るために「セキュリティ対策を大幅に強化した」と回答した企業の割合は73％。その背景には「Log4Shell」の脆弱（ぜいじゃく）性や、SolarWindsやKaseyaが受けたソフトウェアサプライチェーン攻撃があるとSynopsysは分析している。こうした企業に、自社で実施しているセキュリティ対策について聞くと「多要素認証（MFA）など強力な認証技術の採用」（33％）、「アプリケーションセキュリティテストへの投資」（32％）、「資産検出の改善によるアタックサーフェスの目録の更新」（30％）などが挙がった。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

日本でも一部では実運用段階に入ったSBOM、今後の普及に向けた課題は何かを話し合った
SBOMは、日本でも一部の企業では既に取り組みが進んでいる。では、一般的な普及に向けてはどのような課題があるのか。自動車業界、半導体／組み込み業界、システムインテグレーターと、異なる立場の関係者が話し合った。
Log4j問題は大したことなかった？　脆弱性対応はスプリント＆マラソン？　SBOMで解決？――piyokango氏に聞いた
いまの時代に即した脆弱性管理／対策の在り方を探る特集「Log4j 2、クラウド設定ミスだけじゃない―1P情シスのための脆弱性管理／対策の現実解」。初回は、インシデント情報をまとめて記録する「piyolog」を運営するpiyokango氏に、昨今のインシデントを基に、いまそこにある問題点や「企業がどう対策すべきか」について聞いた。
米国では既に標準化の流れ、日本企業も対応を迫られる「SBOM」とは
「SBOM」が大きな注目を浴びている。そもそもSBOMとは何なのだろうか。なぜ米国は大統領令でこれを取り上げたのか。日本企業は対応する必要があるのか。どう対応すればいいか。ここでは、OSSのサプライチェーン管理に関する連載の3回目として、SBOMを解説する。