欧米を中心にガイドラインが整備され、日本でも重要性が増している「ソフトウェア・サプライチェーンセキュリティ」。その裾野は広がりを見せているが、自社での取り組みが進まず、推進方法や重要性を社内で共有できずに悩む担当者も多いだろう。2024年12月23日に刊行された書籍『ソフトウェア透明性 攻撃ベクトルを知り、脆弱性と戦うための最新知識』(原著:Chris Hughes、Tony Turner、Allan Friedman、Steve Springett)は、この分野の背景や脅威、各国の対応状況を体系的に整理した一冊である。本書の翻訳を手がけたNRIセキュアテクノロジーズの4人に、ソフトウェア・サプライチェーンセキュリティの勘所を聞いた。
「ソフトウェア・サプライチェーン」の課題、欧米の対応
ソフトウェア開発の現場では、規模の拡大とともに複雑化が増している。開発に関与するステークホルダーや利用されるライブラリの数が急増するなど、多くの要素が絡み合うことでリスクが多様化している状況だ。その結果、管理やセキュリティ対策の難易度が高まり、対応に苦慮する企業も少なくない。
こうした課題に対し、書籍『ソフトウェア透明性 攻撃ベクトルを知り、脆弱性と戦うための最新知識』は、ソフトウェア・サプライチェーンセキュリティの包括的な知識を提供する一冊だ。同書は、背景や脅威動向を解説するとともに、政府機関や民間団体による具体的な対応策を体系的に示している。食品や医薬品、自動車といった分野で当たり前に行われる安全評価が、ソフトウェアではブラックボックス化している現状に警鐘を鳴らし、ソフトウェアの透明性を確保する重要性を説く。
この「ソフトウェア・サプライチェーンセキュリティ」を高めることは、企業や社会の安全を守ることに直結する。その実践には利用者だけでなく、サプライヤーを含むステークホルダー全体の協調が不可欠だ。そのため、書籍ではステークホルダーごとに必要なアプローチや視点を実践的に紹介し、それぞれが取るべき具体的な行動を提示。欧米の政府や研究機関などによる取り組みにも言及して、ソフトウェア透明性の重要性を掘り下げている。
SolarWinds社を起点とする大規模サイバー攻撃や、米国最大級の燃料供給網がランサムウェアにより一時停止に追い込まれたコロニアル・パイプライン社への攻撃は、ソフトウェア・サプライチェーン攻撃の深刻さを世界に知らしめた。一連の深刻なサイバー攻撃を受けて、欧米では規制やガイドラインの策定が急速に進んでいる。
特に、人命や財産に直接関わる分野での規制強化が顕著だ。具体例として、EUのサイバーレジリエンス法(CRA)、IMDRF(国際医療機器規制当局フォーラム)による医療分野向け国際ガイダンスが挙げられる。
今回、日本語訳を手がけたNRIセキュアテクノロジーズで製品・IoTセキュリティを専門とし、SBOM関連のサービス開発にも関わる櫻井健一氏は「米国大統領令14028は、ソフトウェア・サプライチェーンセキュリティを求める重要な転機となりました。欧米の規制強化は、サイバー攻撃やソフトウェアの脆弱性に迅速かつ適切な対応がとれるようになることを目的としており、こうした動きが今後日本企業にも影響を及ぼすでしょう」と話す。
この記事は参考になりましたか?
- この記事の著者
-
森 英信(モリ ヒデノブ)
就職情報誌やMac雑誌の編集業務、モバイルコンテンツ制作会社勤務を経て、2005年に編集プロダクション業務とWebシステム開発事業を展開する会社・アンジーを創業した。編集プロダクション業務では、日本語と英語でのテック関連事例や海外スタートアップのインタビュー、イベントレポートなどの企画・取材・執筆・...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
提供:NRIセキュアテクノロジーズ株式会社
【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社
この記事は参考になりましたか?
この記事をシェア
