Javaで書いた4行のコード、依存関係をたどると51万行に――超複雑化するソフトウェア構成、SBOMで探るには:特集:1P情シスのための脆弱性管理/対策の現実解(3)
OSSの使用リスク対処として注目を集めているSBOM。SBOMを使ってどのようにサプライチェーン攻撃対策を行えばいいのだろうか。本稿では、@ITが開催した「@IT ソフトウェア品質向上セミナー」の基調講演「SBOMによるサプライチェーン攻撃対策 〜自社ソフトウェアのリスク、把握していますか?〜」で語られた、OSSの使用に潜むリスクへの対処法について、要約してお届けする。
@IT編集部は2022年8月22日、デジタルイベント「@IT ソフトウェア品質向上セミナー」を開催した。基調講演では、「SBOMによるサプライチェーン攻撃対策〜自社ソフトウェアのリスク、把握していますか?〜」と題して、JFrog Japanの横田紋奈氏(デベロッパーアドボケイト兼Java女子部・JJUG運営)が、企業におけるオープンソースソフトウェア(OSS)の使用に潜むリスクにはどのようなものがあり、それにどう対処していけばよいかについて解説した。
ソフトウェアのセキュリティで注目されるソフトウェアサプライチェーン攻撃
SBOMとソフトウェアサプライチェーンの話題の前に、横田氏はDevSecOpsとは何かから話を始めた。DevOpsは、開発者と運用者が協力してサービスを改善していくもの。ユーザーからのフィードバックなどを受けて取り組みを繰り返し、改善を継続する。そのための考え方であり、組織として改善の文化を持つことでもある。DevSecOpsは、DevOpsにセキュリティを組み込んだもので、開発、運用にセキュリティ担当も加え、協力してサービスの改善に取り組む。
国内では現状、「開発」「運用」「セキュリティ」の各エンジニアの割合が、100対10対1だともいわれている。開発者に対しセキュリティ担当者は極めて少ない。一方でソフトウェアやサービスに対するサイバー攻撃は、どんどん増えている。開発者不足はよく話題になるが、セキュリティ人材不足はより深刻だ。このような状況からもDevSecOpsという考え方の元、それぞれが対立するのではなく協力し自動化などを進める考え方が不可欠となる。
このような状況の中、ソフトウェアのセキュリティとして昨今考慮すべきことの一つがサプライチェーンだ。ソフトウェアでは、開発され本番環境にデプロイされてユーザーに届くまでの一連の流れ、工程をソフトウェアサプライチェーンと呼ぶ。そしてソフトウェアサプライチェーンのどこかで悪意のあるコードやパッケージが組み込まれることを、ソフトウェアサプライチェーン攻撃という。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
米国では既に標準化の流れ、日本企業も対応を迫られる「SBOM」とは
「SBOM」が大きな注目を浴びている。そもそもSBOMとは何なのだろうか。なぜ米国は大統領令でこれを取り上げたのか。日本企業は対応する必要があるのか。どう対応すればいいか。ここでは、OSSのサプライチェーン管理に関する連載の3回目として、SBOMを解説する。
「Kubernetes」の脆弱性をSBOMで特定、Googleが詳細な手法を公開
GoogleがSBOMの活用事例を公開した。オープンソースツールを使って、「Kubernetes」のSBOMを「Open Source Vulnerabilities」データベースと照合し、Kubernetesの構成要素に含まれる脆弱性を特定したプロセスを紹介した。
セキュリティを高める「SBOM」、なぜ利用が進んでいるのか
The Linux Foundationはソフトウェアの再利用に関する課題について調査したレポート「The State of Software Bill of Materials(SBOM) and Cybersecurity Readiness」(ソフトウェア部品表《SBOM》とサイバーセキュリティへの対応状況)を発表した。SBOMは最近のアプリケーションのおよそ90%がオープンソースソフトウェアを利用しているという状況に沿った解決策だ。