「ソフトウェア・サプライチェーン」の課題、欧米の対応
ソフトウェア開発の現場では、規模の拡大とともに複雑化が増している。開発に関与するステークホルダーや利用されるライブラリの数が急増するなど、多くの要素が絡み合うことでリスクが多様化している状況だ。その結果、管理やセキュリティ対策の難易度が高まり、対応に苦慮する企業も少なくない。
こうした課題に対し、書籍『ソフトウェア透明性 攻撃ベクトルを知り、脆弱性と戦うための最新知識』は、ソフトウェア・サプライチェーンセキュリティの包括的な知識を提供する一冊だ。同書は、背景や脅威動向を解説するとともに、政府機関や民間団体による具体的な対応策を体系的に示している。食品や医薬品、自動車といった分野で当たり前に行われる安全評価が、ソフトウェアではブラックボックス化している現状に警鐘を鳴らし、ソフトウェアの透明性を確保する重要性を説く。
この「ソフトウェア・サプライチェーンセキュリティ」を高めることは、企業や社会の安全を守ることに直結する。その実践には利用者だけでなく、サプライヤーを含むステークホルダー全体の協調が不可欠だ。そのため、書籍ではステークホルダーごとに必要なアプローチや視点を実践的に紹介し、それぞれが取るべき具体的な行動を提示。欧米の政府や研究機関などによる取り組みにも言及して、ソフトウェア透明性の重要性を掘り下げている。
SolarWinds社を起点とする大規模サイバー攻撃や、米国最大級の燃料供給網がランサムウェアにより一時停止に追い込まれたコロニアル・パイプライン社への攻撃は、ソフトウェア・サプライチェーン攻撃の深刻さを世界に知らしめた。一連の深刻なサイバー攻撃を受けて、欧米では規制やガイドラインの策定が急速に進んでいる。
特に、人命や財産に直接関わる分野での規制強化が顕著だ。具体例として、EUのサイバーレジリエンス法(CRA)、IMDRF(国際医療機器規制当局フォーラム)による医療分野向け国際ガイダンスが挙げられる。
今回、日本語訳を手がけたNRIセキュアテクノロジーズで製品・IoTセキュリティを専門とし、SBOM関連のサービス開発にも関わる櫻井健一氏は「米国大統領令14028は、ソフトウェア・サプライチェーンセキュリティを求める重要な転機となりました。欧米の規制強化は、サイバー攻撃やソフトウェアの脆弱性に迅速かつ適切な対応がとれるようになることを目的としており、こうした動きが今後日本企業にも影響を及ぼすでしょう」と話す。
