TOPセキュリティ > ソフトウエアサプライチェーンのセキュリティーを守るためのツー...

セキュリティ

ソフトウエアサプライチェーンのセキュリティーを守るためのツール7選(上)

2022/06/06

Ericka Chickowski CSO

アプリケーションに占めるサードパーティー製コードの割合

 モダンアプリケーションはサードパーティーのコードで構成されている部分が多い。米調査会社のForrester Researchによると、平均的なアプリケーションのコードベースのうちでオープンソースのコードが占める割合は15年の36%から、20年は75%に上がった。

 オープンソースのコードを使えば開発のスピードと拡張性を高め、素早く成果物を生み出せる。しかし、技術イノベーションの常として、適切な注意を払わなければサイバーリスクが高まる。ソフトウエアサプライチェーンから取り入れたコンポーネントがすぐに旧式化して脆弱性の巣窟になる場合があることは開発界の不名誉な事実だ。さらに、ソフトウエアサプライチェーンの中でさまざまなプロジェクト同士に依存関係があることから、複数の問題が組み合わさっているケースも多く、話は複雑だ。時には攻撃者がオープンソースソフトウエアに脆弱性を意図的に組み込んで、欠陥をわざと作り出す場合もある。

 ソフトウエアサプライチェーンを通じて入り込む脆弱性は、エンタープライズソフトウエアにとって、隠れたサイバーセキュリティーの地雷のようになる。この地雷化の可能性は、開発者によるソフトウエアサプライチェーンの利用のあり方について企業・組織で正式な統制を一切行っていない場合に特に高くなる。開発者がコミットするコードへの組み込みや生成に使ったコンポーネントやライブラリー、開発者ツールの種類について、精査や管理はおろか、そもそも一切把握できていない組織は多い。ソフトウエアサプライチェーンからアプリケーションに取り入れた要素を具体的に把握するうえで役立つのがソフトウエア部品表(SBOM)だ。しかし、非営利組織Linux Foundationの調査によると、SBOMを利用している組織は半数にも満たない。

 サプライチェーンセキュリティーの土台となるのは、SBOMの作成や、オープンソースのガバナンス、IaC(Infrastructure as Code)の要素のセキュリティーだ。IaCの要素はSDLC(ソフトウエア開発ライフサイクル)全体を通してアプリケーションに関わりを持つ。以下、こうしたセキュリティーを実現するためのツールを見ていく。ソフトウエア構成分析(SCA)ツールを主に取り上げ、SBOMの作成やソフトウエアの内容に対する可視性の向上、現在のソフトウエアの構成要素として使われているコンポーネントの問題点の修復という面に重点を置く。

翻訳:内山卓則=ニューズフロント

↑ページ先頭へ