SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day 2024 Summer

2024年6月25日(火)オンライン開催

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2024 春の陣レポート(AD)

ソフトウェアサプライチェーンのリスク管理は必須事項に、NRIセキュアが指南する「開発部門だけに押し付けない」対応策

「調達→製造・開発→リリース・デプロイ→運用」の各工程にて求められる施策とは

 2022年に経済安全保障推進法が施行されてから、サプライチェーン全体のセキュリティ確保と管理策の構築が日本でも年々重視されてきている。2024年にはいよいよ管理策の事前報告が義務付けられ、サプライチェーン全体のリスク管理フレームワークの選択と、実効性のある計画立案が必要不可欠となった。こうした状況を背景に、NRIセキュアテクノロジーズの御舩愛輔氏が「Security Online Day 2024 春の陣」に登壇。ソフトウェアサプライチェーンのリスク管理策で必要となる対応を、事例とともに解説した。

経済安全保障推進法でサプライチェーンのリスク可視化が必須に

 経済安全保障推進法とは、経済活動において国家や国民の安全を維持するために、リスク管理の基本方針策定や、必要な制度の創設を定めた法律である。2021年、Apache Log4jライブラリに関する複数の脆弱性が報告されたことなどを皮切りに、日本でもサイバーセキュリティ確保への対策が急務だという動きが起こり誕生した。

 同法律が最初に交付されたのは2022年。そこからは段階的な施行が行われ、2024年5月からは、「重要インフラ事業者は、重要設備の導入時にリスク管理施策の導入計画を届出し、審査を受ける」義務が生じる。また、サプライチェーンの導入計画書の届出時に、リスク対策状況を確認できる資料などの提出が求められるなど、より具体的な行動が要求されるようになった。

 NRIセキュアテクノロジーズの御舩愛輔氏は、本講演でソフトウェアサプライチェーンのリスク管理施策に焦点を当てた解説を行った。ソフトウェアの開発には、そのプロセスの中で多くの事業者が関わる。そのため、オープンソースソフトウェア(OSS)の使用を含め、リスク混入の可能性が様々な局面で存在する。

 講演の冒頭、御舩氏は「リスクが混入する箇所を特定することが困難であるのは間違いない」としながらも、この責務から逃れることは不可能であり、特定と整理に必要な知識をつけなければならないと強調した。

ソフトウェアサプライチェーンのリスクは広範囲に発生する。適切な整理で、個々を把握する必要がある
ソフトウェアサプライチェーンのリスクは広範囲に発生する。適切な整理で、個々を把握する必要がある
[画像クリックで拡大表示]

リスク管理施策に活用できる国内外のガイドライン

 リスク管理施策の作成に向けて、御舩氏は安全な開発を促進するガイドラインの利活用を推奨した。一般的に、多くのガイドラインではセキュアな開発のための要求事項が定められている。活用するガイドラインとしては、NISTの「Supply Chain Risk Management Practices for Federal Information Systems and Organizations」や米政府が資金提供するMITRE(マイター)社の「System of Trust」など、それぞれの目的に応じて国際的に多くのガイドラインがある。また、経済安全保障推進法においても「経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度について」にて「リスク管理措置の一覧」が提供されている。

 たとえば「リスク管理措置の一覧」では、特定社会基盤役務者に向けたリスク管理施策として、「特定重要設備に、悪意のあるコード等の混入を確認する受入検査、その他の検証体制を構築すべき。脆弱性テストを導入までに実施すべき」といった概要が記載されており、実際のリスク管理措置の参考にできる。

 また、ソフトウェアのライフサイクルにおける工程ごとにリスクや要求事項を分類して整理することで、抜け漏れを防ぐことが可能だ。次図のように一覧化して整理すれば、工程ごとに考慮すべきリスクの有無を確認しやすくなる。

[画像クリックで拡大表示]

 さらに、組織のITプラクティス戦略策定などで用いられるPPT(People、Process、Technologies)フレームワークを使用し、「人員・プロセス・技術」の観点から領域ごとに顕在化するリスクを検討すれば、より網羅的にリスクの主体や対する要求事項の整理ができるようになると御舩氏は説明する。

次のページ
ソフトウェアサプライチェーンの各工程でとるべき施策

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
Security Online Day 2024 春の陣レポート連載記事一覧

もっと読む

この記事の著者

森 英信(モリ ヒデノブ)

就職情報誌やMac雑誌の編集業務、モバイルコンテンツ制作会社勤務を経て、2005年に編集プロダクション業務やWebシステム開発事業を展開する会社・アンジーを創業。編集プロダクション業務においては、IT・HR関連の事例取材に加え、英語での海外スタートアップ取材などを手がける。独自開発のAI文字起こし・...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

提供:NRIセキュアテクノロジーズ株式会社

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19508 2024/04/26 10:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング