SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2023 春の陣

2023年3月14日(火)10:00~16:00

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press

ソフトウェアにとっての食品成分表「SBOM」 サプライチェーンの脆弱性対策と透明性評価にどう役立つか

 オープンソース(OSS)の普及により、企業はOSSを活用して開発生産性を高めている。今ではソフトウェアには多くのOSSが採り入れられ、木が根を張るように推移的依存関係が複雑に形成されている。どこかで脆弱性が発見されても、自社に影響するのかすぐには把握できない危険な状態になりかねない。そこで役に立つのがソフトウェア部品表(SBOM)だ。背景と現状について、トレンドマイクロ 平子正人氏に訊いた。

近年、脆弱性が急増している背景

 CVE(Common Vulnerabilities and Exposures)として登録されるソフトウェアの脆弱性は年々増加しており、特に2017年は前年比で倍増し、以降も増加の一途をたどる。2021年には2万件を超えた。この背景について、トレンドマイクロ シニアスレットスペシャリスト 平子正人氏は「脆弱性検査の必要性が認知され、テスト自動化ツールが普及したことが大きいと思います」と説明する。

画像クリックで拡大
画像クリックで拡大

 脆弱性検査の必要性のきっかけとなったのが2014年に発覚した脆弱性「Hearbleed」だ。暗号化通信に使うソフトウェア(ライブラリ)「OpenSSL」の死活監視機能「Heartbeat」(心臓の鼓動)の脆弱性なので「Heartbleed」(心臓出血)と呼ばれている。

 本来、OpenSSLでWebサイトとの通信を暗号化することでやりとりを保護していたはずが、拡張機能に潜んでいた脆弱性により、サーバーのメモリ上にある情報が漏えいしてしまう隙が生まれた。しかも、この脆弱性は長らく気づかれないままの状態だった。OpenSSLは広く使われていたため、多くの企業が震撼する出来事となった。

 この危機感をきっかけに脆弱性を検査する必要性が高まり、テスト自動化ツールが普及した。その結果として脆弱性の検出数が増えたという側面もある。気づかず放置されるよりは、検出して対策できたほうがいい。

 こうした背景もあり、近年ますますオープンソースの脆弱性を突いた攻撃が増えているのが現状だ。脆弱性はすぐに対応すればひとまず安心だが、何もせず放置していれば攻撃者は狙ってくるため、常に脆弱性の最新情報をキャッチし、自社に関係すれば対策しておく必要がある。

次のページ
ブラックボックス化したソフトウェアのコンポーネントをSBOMで把握する

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/17209 2023/01/17 08:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2023年3月14日(火)10:00~16:00

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング