Enterprise Strategy Group社が実施した調査結果から、クラウド・ベースのアプリケーションに潜むソフトウェア・サプライチェーン・リスクの広がりが判明
2022年8月30日 東京発 - シノプシス(Synopsys, Inc.、Nasdaq上場コード:SNPS)は本日、350のアプリケーション開発、インフォメーション・テクノロジ、サイバーセキュリティに携わる意思決定者に対して実施した最新調査の結果を公表した。Synopsys Software Integrity Groupが一部を委託してEnterprise Strategy Group社が実施したこの調査結果は、eBookの「社会的な規範を守る:GitOpsとシフト・レフト・セキュリティ ― 開発者中心のスケーラブルなサプライ・チェーン・セキュリティ・ソリューション」でもハイライトされているように、ソフトウェア・サプライチェーン・リスクが、オープンソース自体の問題を超えて広がっている現状を明らかにしている。
Log4Shellの脆弱性、SolarWinds社やKaseya社が被ったソフトウェア・サプライチェーン攻撃を受けて、調査対象の73%は、様々なセキュリティ対策を通じて自社のソフトウェア・サプライチェーンを守るための対策を大幅に強化していると回答している。こうした取り組みの主なものとしては、多要素認証(MFA)などの何らかの強力な認証技術の採用(33%)、アプリケーション・セキュリティ・テストへの投資(32%)、資産検出の改善によるアタック・サーフェスの目録の更新(30%)などが挙げられている。こうした取り組みがなされているにも関わらず、調査対象の34%は、過去12か月間に、オープンソース・ソフトウェア(OSS)に潜んでいた既知の脆弱性を悪用された経験があると回答している。また28%は、OSS内部にあった未知の脆弱性によるゼロデイ攻撃の被害にあったことがあることが解った。
OSSの利用の拡大に伴って、アプリケーションのOSS依存も当然高まっている。ソフトウェア・サプライチェーン・リスクのマネージメントを強化しなければならないという意識の高まりから焦点が当てられているのは、ソフトウェア部品表(SBOM:Software Bills of Materials)である。しかし、OSS活用の急激な増加とOSSマネージメントの稚拙さから、SBOM整備は困難な作業になっていると調査結果は明らかにしている。調査対象の実に39%が、SBOM作成をOSS利用にあたっての課題として認識しているのである。
eBookの「社会的な規範を守る:GitOpsとシフト・レフト・セキュリティ ― 開発者中心のスケーラブルなサプライ・チェーン・セキュリティ・ソリューション」は下記よりダウンロード可能。
シノプシス ソフトウェア・インテグリティ・グループ ジェネラルマネージャー Jason Schmittは、次のように述べている。「ソフトウェア・サプライチェーン・セキュリティの脆弱性や、それに対する攻撃が大きく取り上げられるようになり、企業/団体は、それらがビジネスに与え得る影響の大きさを認識するようになっています。積極的なセキュリティ戦略の優先順位を上げることは、今やビジネス継続にとって不可欠な根本要件と言えます。OSSのリスク管理は、クラウド・ベースのアプリケーションに潜むソフトウェア・サプライチェーン・リスクのマネージメントにとって避けては通れません。その一方で、そうしたリスクは、単なるOSS自体の問題を超えて広がっているという事実も直視しなければなりません。ソフトウェア・コードによるインフラ管理、コンテナ型アプリケーション、API(application programming interface)、コードレポジトリなど、数え挙げれば切りがありませんが、総合的なソフトウェア・サプライチェーン・セキュリティ対策の構築には、これらすべてに対処する必要があります」
OSSがサプライチェーンにとって重要な関心事なのは確かだが、クラウド・ベースのアプリケーションの開発への移行が進むにつれて、企業/団体は、サプライチェーンにもたらされる更なるリスクについても懸念を持つようになっている。すなわち、ソフトウェア・コードに対する新たな視点だけでなく、クラウド・ベース・アプリケーションがどのように格納されパッケージ化され適用されるのか、またそれらがAPI経由でどのように相互接続されるのか、といった点である。調査対象の約半数(45%)は、最もセキュリティ攻撃を受けやすいものとしてAPIを挙げている。次いで多いのが、データ・ストレージ・レポジトリ(42%)であり、自社開発のコード(38%)と続く。
調査対象の99%は、OSSを現在使用している、あるいは今後12ヶ月以内に使用する予定だと回答している。こうしたオープンソース・プロジェクトの管理維持、セキュリティ、信頼性についての懸念もさることながら、最も大きな懸念は、アプリケーション開発工程で用いられるOSSの割合に関するものである。企業/団体の54%は、最大の懸念事項として「アプリケーション・コードの多くの部分にOSSが組み込まれていること」を挙げている。
シノプシス Cybersecurity Research Center プリンシパル・セキュリティ・ストラテジスト Tim Mackeyは、次のように述べている。「米国のサイバーセキュリティ強化に向けた大統領令Executive Order (14028)を受けて、これまでは概念的に捉えられていたSBOMに、にわかに注目が集まっています。SBOMの整備により、ソフトウェアの運用者は、オープンソースや商用またはサードパーティのソフトウェアのいずれにおいても、どの外部の開発者によるソフトウェアが自社のアプリケーションに組み込まれているかを把握できるようになります。この知識の有無は、脆弱性に対する修正モジュールの管理にあたって重要な意味を持ちます。この知識なくしては、ソースコードの由来が何であれ、アプリケーション内に潜むリスクの存在を完全に理解することはできないからです。SBOMで武装することにより、Log4Shellレベルの新たなゼロデイ脆弱性が露見、あるいは将来発見されたとしても、サードパーティ製ソフトウェアを標的としたセキュリティ攻撃に対して迅速かつ的確にアクションを取ることが可能となります」
クラウド・ベース・アプリケーションのソフトウェア・サプライチェーン対策において、開発者がより大きな役割を担うようになってはいるが、開発者がセキュリティ・テストの主体となることを不安視していないセキュリティ担当者はわずか36%に過ぎない。使用するツールを増やしたり責任範囲を広げることで開発者に過度な負担をかけること、イノベーションや開発スピードを阻害すること、セキュリティ対策上のミスを犯すことといった懸念が、開発者主導のセキュリティ対策実現の最も大きな障害となっている。
今回の調査の詳細は下記より無償でダウンロード可能。
調査結果の概要は下記にて閲覧可能。
開発スピードと効率を最大化しつつセキュリティ・リスクを最小化するシノプシス・ソフトウェア・インテグリティ・グループのソリューションの詳細は下記より入手可能。
https://www.synopsys.com/ja-jp/software-integrity.html?cmp=pr-sig&utm_medium=referral
シノプシス ソフトウェア・インテグリティ・グループについて
シノプシスのソフトウェア・インテグリティ・グループが提供する統合型ソリューションは、ソフトウェア開発とデリバリのあり方を根底から変革し、ビジネス・リスクに対処しながらイノベーションを加速することを可能にする。業界をリードするシノプシスのソフトウェアセキュリティ製品のポートフォリオおよびサービスは世界で最も包括的であるだけでなく、サードパーティおよびオープンソース・ツールとの連携も可能であり、組織は既存の資産を活用しながら最適なセキュリティ・プログラムを構築することができる。信頼性の高いソフトウェアの構築に必要なものをワンストップでご提供できるのは、シノプシスのみである。
詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.htmlより入手可能。
シノプシスについて
Synopsys, Inc.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子設計自動化(EDA)ソリューションならびに半導体設計資産(IP)のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、業界で最も広範囲をカバーしたアプリケーション・セキュリティ・テスティング・ソリューションならびにサービスを提供しているS&P 500カンパニーである。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)設計者、よりセキュアでハイ・クオリティなコードを開発しているソフトウェア開発者に、革新的製品の開発に欠かせないソリューションを提供している。
詳細情報は、https://www.synopsys.com/ja-jpより入手可能。
# # #
Synopsysは、Synopsys, Inc.の登録商標または商標です。
その他の商標や登録商標は、それぞれの所有者の知的財産です。
<お問い合わせ先>
日本シノプシス合同会社 ソフトウェア・インテグリティ・グループPR事務局
(井之上パブリックリレーションズ内)
担当:塚田・渡辺
Email:synopsys@inoue-pr.com