ソフトウェア・サプライチェーン強化のための“処方箋”
SLSAのようなフレームワークはあるものの、ソフトウェア・サプライチェーンセキュリティには「これをやればいい」という“銀の弾丸”となる万能の解決策は存在しない。だからこそ、地道で広範な対策が必要となる。まず取り組むべきは「自社の現状を把握する」ことだ。調達から運用、提供まで、サプライチェーン全体の各段階でどのような対策ができているのか、どこが未対応なのかを明確化。その結果を基に優先順位をつけることが重要となる。
たとえば、NRIセキュアテクノロジーズでは、こうした対応状況の明確化や優先順位付けなどをサポートするためのガイドラインやサービスを提供しているという。福澤氏は「当社のコンサルティングサービスでは、対策をレベル1からレベル3の3段階に分けています。レベル1は必須の対策で、最初に取り組むべき項目。レベル2は基本的な対策が完了した後に進めるもの。そしてレベル3は推奨事項で、必要性を見極めて進めるべき内容としています」と説明。その上で、サプライチェーン全体の整備には、1年以上の対応期間が必要だと述べた。
[画像クリックで拡大]
初期段階である対策状況の洗い出しでは、担当者が全体を把握できていないため、多くの関係者へのヒアリングが必要になる点が課題となる。また、日本では委託先の都合で対策が進まないケースも多く、これが対策の実行を難しくしているという。さらに、対応できる人材が不足しており、必要なスキルセットの整備も重要だ。
古川氏は、ソフトウェア・サプライチェーンセキュリティの重要性について、「これは単に自社を守るためだけでなく、お客様を守るためでもあります」と強調する。攻撃者はセキュリティ対策が強固なところを避け、脆弱な箇所を狙う。もし自社が脆弱性を抱えている場合、自社だけが攻撃を受けるのではなく、信頼してくれている顧客にまで被害が及ぶ可能性がある。
「『被害者が攻撃者になり得る』というリスクが常に指摘されています。自社の不備が原因でお客様に被害を与えることは、最も避けるべき事態でしょう」(古川氏)
そこで参照してほしいのが書籍『ソフトウェア透明性』だとして、翻訳を企画した藤井氏は「ソフトウェア・サプライチェーンセキュリティを包括的に整理しており、原書は米国でも非常に高い評価を受けています」と語る。実際に原書を読み込み、日本でも十分参考になる情報が含まれていると判断して出版を決意。ソフトウェア・サプライチェーンの問題意識や対策に関する基礎知識を広め、業界全体のセキュリティレベルを引き上げたいという強い想いが込められている。
インテリジェンスセンター統括部長 藤井秀之氏
藤井氏は「ソフトウェアは電力や水道と同じ『社会インフラ』であり、その安全性確保が不可欠です」と続けた。書籍では、OSS(オープンソースソフトウェア)を含むリスク管理、最新のフレームワークなどが丁寧に整理されており、その行動指針や活用法が具体的に示されている点が特徴的だ。
今回、翻訳版の著作にあたり、日本の読者が理解しやすい内容にすることが重視されている。原書は米国で出版されたため英語で書かれており、専門用語や言い回しには日本だと馴染みづらい部分が少なくない。米国特有の表現は日本の読者にも伝わるような翻訳を心がけ、難解な用語や概念には補足を加えるなどの工夫が施された。そのためソフトウェア・サプライチェーンセキュリティに取り組んでいる担当者だけでなく、これから勉強したいという現場のエンジニアや担当者にとっても理解を深めやすい。
ソフトウェア・サプライチェーンセキュリティの背景や脅威、対応する政府機関や民間団体の対応状況などについて体系的、網羅的に理解できる1冊だ
まさに「具体的にソフトウェア・サプライチェーンセキュリティをどう進めるべきかを理解し、活用できる一冊」といっても過言ではないだろう。また、経営層や政策立案者に対しても、その必要性や背景を包括的に理解するために最適だという。
ソフトウェア・サプライチェーンセキュリティは、これまで民間企業の自助努力に委ねられていたが、現在では社会課題として捉え、国や多くのステークホルダーを巻き込んで取り組む必要性が高まっている。最後に藤井氏は「1社で解決できる問題ではなく、社会全体での協力が不可欠です。書籍を通じて、課題の本質を理解し、必要な行動を促すきっかけになれば」と期待を寄せた。
