Javaで書いた4行のコード、依存関係をたどると51万行に――超複雑化するソフトウェア構成、SBOMで探るには特集:1P情シスのための脆弱性管理/対策の現実解(3)

OSSの使用リスク対処として注目を集めているSBOM。SBOMを使ってどのようにサプライチェーン攻撃対策を行えばいいのだろうか。本稿では、@ITが開催した「@IT ソフトウェア品質向上セミナー」の基調講演「SBOMによるサプライチェーン攻撃対策 〜自社ソフトウェアのリスク、把握していますか?〜」で語られた、OSSの使用に潜むリスクへの対処法について、要約してお届けする。

» 2022年09月22日 05時00分 公開
[谷川耕一@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 @IT編集部は2022年8月22日、デジタルイベント「@IT ソフトウェア品質向上セミナー」を開催した。基調講演では、「SBOMによるサプライチェーン攻撃対策〜自社ソフトウェアのリスク、把握していますか?〜」と題して、JFrog Japanの横田紋奈氏(デベロッパーアドボケイト兼Java女子部・JJUG運営)が、企業におけるオープンソースソフトウェア(OSS)の使用に潜むリスクにはどのようなものがあり、それにどう対処していけばよいかについて解説した。

ソフトウェアのセキュリティで注目されるソフトウェアサプライチェーン攻撃

 SBOMとソフトウェアサプライチェーンの話題の前に、横田氏はDevSecOpsとは何かから話を始めた。DevOpsは、開発者と運用者が協力してサービスを改善していくもの。ユーザーからのフィードバックなどを受けて取り組みを繰り返し、改善を継続する。そのための考え方であり、組織として改善の文化を持つことでもある。DevSecOpsは、DevOpsにセキュリティを組み込んだもので、開発、運用にセキュリティ担当も加え、協力してサービスの改善に取り組む。

JFrog Japanの横田紋奈氏

 国内では現状、「開発」「運用」「セキュリティ」の各エンジニアの割合が、100対10対1だともいわれている。開発者に対しセキュリティ担当者は極めて少ない。一方でソフトウェアやサービスに対するサイバー攻撃は、どんどん増えている。開発者不足はよく話題になるが、セキュリティ人材不足はより深刻だ。このような状況からもDevSecOpsという考え方の元、それぞれが対立するのではなく協力し自動化などを進める考え方が不可欠となる。

 このような状況の中、ソフトウェアのセキュリティとして昨今考慮すべきことの一つがサプライチェーンだ。ソフトウェアでは、開発され本番環境にデプロイされてユーザーに届くまでの一連の流れ、工程をソフトウェアサプライチェーンと呼ぶ。そしてソフトウェアサプライチェーンのどこかで悪意のあるコードやパッケージが組み込まれることを、ソフトウェアサプライチェーン攻撃という。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。