企業が過去12カ月間で最も直面したソフトウェアサプライチェーンの脅威とは SlashData：脅威を低減するのに役立つ対策を解説

SlashDataは、企業が過去12カ月間で最も直面したソフトウェアサプライチェーンの脅威を発表した。過去12カ月間に自組織がソフトウェアサプライチェーンセキュリティの脅威に直面したと認識しているDevOps担当者1045人の回答に基づいている。

[＠IT]

　調査会社のSlashDataは2024年8月7日（米国時間）、企業が過去12カ月間で最も直面したソフトウェアサプライチェーンの脅威を発表した。

　SlashDataは「組織にとってソフトウェアのセキュリティと信頼性の確保は極めて重要であり、さまざまな施策や戦略を採用している。だが、このような努力にもかかわらず、DevOpsチームは依然としてソフトウェアサプライチェーンの脅威に直面している」と述べている。

　同レポートは、過去12カ月間に自組織がソフトウェアサプライチェーンセキュリティの脅威に直面したと認識しているDevOps担当者1045人の回答を分析、まとめたものだ。

過去12カ月間に直面したソフトウェアサプライチェーンの脅威　1位は

　企業が過去12カ月間でソフトウェアサプライチェーンの脅威として最も直面していたのは、「サードパーティーのライブラリやコンポーネントにおけるソフトウェアの脆弱（ぜいじゃく）性」（35％）だ。次いで、「不安定なサードパーティーサービスまたはAPI」（26％）、「パッチが当てられていない、または脆弱なソフトウェアコンポーネント」（24％）だった。

　SlashDataは「サードパーティープロバイダーを統合する前に、徹底的なデューデリジェンス（事前調査）と、統合後の継続的なモニタリングの必要性を浮き彫りにするものだ。だが、DevOps担当者でサードパーティーベンダーのリスク評価を実施していると回答したのは、わずか17％にすぎない。これらの取り組みは、脅威にさらされる可能性を低減するのに役立つだろう」と述べている。

過去12カ月間に自組織が直面した主なソフトウェアサプライチェーンの脅威（提供：SlashData）

組織規模が大きいほどソフトウェアサプライチェーンの脅威にさらされやすい

　レポートによると、中小企業（従業員数2〜50人）に勤務するDevOps担当者の31％が、サードパーティーのライブラリまたはコンポーネントにソフトウェアの脆弱性があったと回答した一方、大企業（従業員数1000人以上）では、この割合が41％に上った。

　「大企業では、業務の規模や運用の複雑さにより、より多くのサードパーティーコンポーネントを統合しているため、これらの脆弱性にさらされやすい。ソフトウェアサプライチェーンセキュリティを重視する大企業は、サードパーティーベンダーのリスク評価の実施を優先事項とすべきだ」と、SlashDataは述べている。

大規模組織におけるランサムウェア攻撃の発生率は約2倍

　レポートによると、ソフトウェアやコードリポジトリを標的とするランサムウェア攻撃の影響を受けたことがある割合は、中小企業では11％だったのに対し、大企業では21％と、約2倍だった。

　SlashDataは「大企業は複雑なソフトウェアサプライチェーンを持ち、攻撃対象領域（アタックサーフェス）が広がっている。依存関係を継続的にスキャンすることが推奨されるが、組織で継続的なスキャンを実施していると回答したDevOps担当者は20％だった。継続的なスキャンは、依存関係やソフトウェアサプライチェーンの複雑さが増す中で重要になる」と述べている。