ソフトウェアサプライチェーンのリスク管理は必須事項に、NRIセキュアが指南する「開発部門だけに押し付けない」対応策

事例で解説、第三者視点によるセキュリティ対策評価

　各工程でのリスク管理施策を紹介した後、御舩氏は、NRIセキュアテクノロジーズがある顧客向けにリスクや要求事項を分類・整理して評価した事例を紹介した。その顧客は経済安全保障推進法への対応を目指し、セキュリティ対策を第三者の視点で確認したいが、現状そのような仕組みがなかったため、同社がこれに対応した。

　まずは、MITREのSystem of Trustや経済安全保障推進法に関するリスク管理措置などのソフトウェアサプライチェーンに関係する4つのガイドラインを基に、これに記載された要求事項を集約して、顧客のセキュリティ対策の一覧を作成。この一覧に記載された要求事項は、ビジネスオーナーがビジネスの重要度や影響を考慮し、どの対策を優先的に実施するか柔軟に選択できるよう、3つのレベルに分類された。

　レベル1「Basic」には、必ず対策すべき要求事項が振り分けられた。直ちに対応されない場合は、検証の報告レポートで必ず対応が求められるような事項だ。レベル2「Advanced」には、個人情報を扱うなど重要度が高い場合に対応すべき事項が当てはまる。検証の報告レポートでは、対応されていない箇所が重要部分であれば対応が求められる。そしてレベル3「Extreme」に該当する事項は、対応は任意であり、ビジネスオーナーの判断に委ねられる。対応の難易度や費用対効果を踏まえて対応可否を検討する。

　セキュリティ対策をこうした一覧に則って実施してもらった後、同社は顧客の開発部門や運用部門などにヒアリングを実施し、要求事項の実施状況を調査して評価を行った。評価の結果、御舩氏は「実際に稼働しているシステムでも、ソフトウェアサプライチェーン対策が十分に進んでいない」との所感を得たと述べ、サービスリスク分析の不十分さ、開発環境でのログ取得の未実施、人員管理や不正コード混入の確認の不定期実施、SBOM（Software Bill of Materials）の未導入などの課題を挙げた。

　SBOMとは、製品に含まれるソフトウェアのコンポーネントや依存関係、ライセンスデータなどを記した一覧表である。経済安全保障推進法におけるリスク管理措置として含まれる、悪意のあるコード等の混入の検査のためにも、今後対応が求められていく技術であると考えられる。

　そして最後に、評価への対応には、開発部門だけでなく組織全体での取り組みが必要である。技術的な対策においては、共通基盤へのソリューションの埋め込みを含め、開発現場の導入負担を低減したり、対応コストの最適化を図ることも大切だ。対策を標準化し、全社的な取り組みとして具体化することが必要だと御舩氏は強調し、講演を締めくくった。