「ソフトウェア・サプライチェーン」の課題、欧米の対応
ソフトウェア開発の現場では、規模の拡大とともに複雑化が増している。開発に関与するステークホルダーや利用されるライブラリの数が急増するなど、多くの要素が絡み合うことでリスクが多様化している状況だ。その結果、管理やセキュリティ対策の難易度が高まり、対応に苦慮する企業も少なくない。
こうした課題に対し、書籍『ソフトウェア透明性 攻撃ベクトルを知り、脆弱性と戦うための最新知識』は、ソフトウェア・サプライチェーンセキュリティの包括的な知識を提供する一冊だ。同書は、背景や脅威動向を解説するとともに、政府機関や民間団体による具体的な対応策を体系的に示している。食品や医薬品、自動車といった分野で当たり前に行われる安全評価が、ソフトウェアではブラックボックス化している現状に警鐘を鳴らし、ソフトウェアの透明性を確保する重要性を説く。
この「ソフトウェア・サプライチェーンセキュリティ」を高めることは、企業や社会の安全を守ることに直結する。その実践には利用者だけでなく、サプライヤーを含むステークホルダー全体の協調が不可欠だ。そのため、書籍ではステークホルダーごとに必要なアプローチや視点を実践的に紹介し、それぞれが取るべき具体的な行動を提示。欧米の政府や研究機関などによる取り組みにも言及して、ソフトウェア透明性の重要性を掘り下げている。
SolarWinds社を起点とする大規模サイバー攻撃や、米国最大級の燃料供給網がランサムウェアにより一時停止に追い込まれたコロニアル・パイプライン社への攻撃は、ソフトウェア・サプライチェーン攻撃の深刻さを世界に知らしめた。一連の深刻なサイバー攻撃を受けて、欧米では規制やガイドラインの策定が急速に進んでいる。
特に、人命や財産に直接関わる分野での規制強化が顕著だ。具体例として、EUのサイバーレジリエンス法(CRA)、IMDRF(国際医療機器規制当局フォーラム)による医療分野向け国際ガイダンスが挙げられる。
今回、日本語訳を手がけたNRIセキュアテクノロジーズで製品・IoTセキュリティを専門とし、SBOM関連のサービス開発にも関わる櫻井健一氏は「米国大統領令14028は、ソフトウェア・サプライチェーンセキュリティを求める重要な転機となりました。欧米の規制強化は、サイバー攻撃やソフトウェアの脆弱性に迅速かつ適切な対応がとれるようになることを目的としており、こうした動きが今後日本企業にも影響を及ぼすでしょう」と話す。
日本企業が直面する構造的問題、新たなセキュリティリスクとは
今回、日本語訳を手がけたNRIセキュアテクノロジーズでDevSecOps事業に携わる福澤達洋氏は「クラウドの普及が、1つの転換点と言えるでしょう。開発環境の構築が容易になり、ライブラリの利用も手軽になったものの、それが新たなリスクとなっています」と指摘。欧米と日本の違いについても言及しつつ、開発現場の文化的背景も大きく影響を与えていると説明する。
DevSecOps事業部 グループマネージャー 福澤達洋氏
米国などでは、社内に開発組織があることは一般的であり、意思決定・情報連携が迅速で、アジャイル開発などの先進的な開発手法も広く浸透している。一方、日本では外部ベンダーに依存する多重下請け構造が根強く、そのステークホルダーは多岐にわたるため、“組織間の連携”が複雑化する傾向がある。
NRIセキュアテクノロジーズが現場で聞くのは「委託先の統制が十分に取れていない」という声だ。委託先の数が増えるにつれ、管理の手間が膨大になり、結果としてサプライチェーン全体の管理が行き届かない事態が生じる。福澤氏は「こうした背景が、セキュリティ対応の遅れやリスクの増大につながっています」と警鐘を鳴らす。
日本のソフトウェア開発事情は、先述したとおりステークホルダーが多層的に関与する構造を背景として、外部ベンダーによって開発されたソフトウェアの詳細を把握することが困難であることが課題となっている。開発が外部ベンダー内で完結せず、その子会社や他の外部ベンダー、さらには下請け企業に委託されることが多く、場合によっては派遣社員やビジネスパートナーにも依頼が及ぶ。この多重構造がセキュリティリスクの特定や対応を難しくしている。
たとえば2021年には、広く利用されているJavaのログ出力ライブラリであるLog4jの深刻な脆弱性(Log4Shell)が発覚した際、多くの企業で“自社のソフトウェアがLog4jを利用しているかどうか”を把握するだけでも手間と時間を要した。そうした課題を解決する手段として期待されているのが「SBOM(ソフトウェア部品表)」だ。SBOMはソフトウェアが利用するライブラリの一覧表であり、ソフトウェアとあわせてSBOMを提供することで、確実なセキュリティリスクへの特定や対応が可能になることが期待されている。
米国大統領令14028では、米国政府に納入するソフトウェアのSBOMを提供することが義務付けられた。NRIセキュアテクノロジーズでデジタルアイデンティティに携わる古川英明氏は「米国では国防総省が中心となり、ソフトウェア・サプライチェーンセキュリティの取り組みが進んでいます。しかし、日本では前述の課題があるため米国ほど取り組みが進んでいない状況ですが、注目は高まっており、医療機器や自動車をはじめとした業界ごとに(ソフトウェア・サプライチェーンセキュリティ推進のための)議論が交わされています」と述べる。
デジタルクライム対策事業部 シニアセキュリティコンサルタント 古川英明氏
さらに、「生成AI」の流行が新たなリスクをもたらしているという。ソフトウェアの開発において、生成された内容の正確性を担保しきれないことや、著作権侵害の可能性も指摘されている。加えて、攻撃者が生成AIを活用するソフトウェア開発現場を狙うとすれば、生成AIの学習データに不正なコードを注入する可能性も考えられるだろう。
福澤氏は「生成AIリスクの問題も、委託先の管理に通じます」と述べ、委託先が機密情報を漏洩したり、著作権を侵害したりするリスクが高まっている点を強調する。だからこそ、委託元は納品物を十分に検証しなければ、自社が責任を負う事態を招きかねない。生成AIの活用が従来の委託先管理の課題をさらに複雑化させており、より厳格な管理体制が求められている。
特にソフトウェア・サプライチェーンセキュリティの観点では、開発からユーザーに届けるまでに発生するセキュリティリスクへの対応が重要視されている。従来のソフトウェア開発では、開発ライフサイクル内で適切にセキュリティ対策を講じることがベストプラクティスとされてきた。たとえば、コードレビューやセキュリティテストの実施、開発環境の整備などだ。しかし近年では、開発後からユーザーに届けるまでのプロセスにも新たなリスクが加わっている。
「悪意のあるコードが組み込まれるサプライチェーン攻撃、開発環境自体が侵害されて機密情報が漏洩するケースなどが問題視されています。従来のセキュリティ対策だけでは、こうしたリスクに対応しきれない状況にあり、開発環境や供給プロセス全体を包括的に管理する『新しいアプローチ』が必要です」(櫻井氏)
サービス開発推進部 シニアセキュリティコンサルタント 櫻井健一氏
その新たなアプローチの1つこそが、書籍でも紹介している「SLSA:Supply-chain Levels for Software Artifacts」フレームワークである。同氏は「SLSAは、サプライチェーン全体を俯瞰し、開発から配布に至るまでのリスクを包括的に管理することを可能にします。たとえば、開発環境のセキュリティ確保や、不正なコード混入を防ぐ仕組みを導入することで、サプライチェーン全体のセキュリティを担保することができます」と説明した。
ソフトウェア・サプライチェーン強化のための“処方箋”
SLSAのようなフレームワークはあるものの、ソフトウェア・サプライチェーンセキュリティには「これをやればいい」という“銀の弾丸”となる万能の解決策は存在しない。だからこそ、地道で広範な対策が必要となる。まず取り組むべきは「自社の現状を把握する」ことだ。調達から運用、提供まで、サプライチェーン全体の各段階でどのような対策ができているのか、どこが未対応なのかを明確化。その結果を基に優先順位をつけることが重要となる。
たとえば、NRIセキュアテクノロジーズでは、こうした対応状況の明確化や優先順位付けなどをサポートするためのガイドラインやサービスを提供しているという。福澤氏は「当社のコンサルティングサービスでは、対策をレベル1からレベル3の3段階に分けています。レベル1は必須の対策で、最初に取り組むべき項目。レベル2は基本的な対策が完了した後に進めるもの。そしてレベル3は推奨事項で、必要性を見極めて進めるべき内容としています」と説明。その上で、サプライチェーン全体の整備には、1年以上の対応期間が必要だと述べた。
[画像クリックで拡大]
初期段階である対策状況の洗い出しでは、担当者が全体を把握できていないため、多くの関係者へのヒアリングが必要になる点が課題となる。また、日本では委託先の都合で対策が進まないケースも多く、これが対策の実行を難しくしているという。さらに、対応できる人材が不足しており、必要なスキルセットの整備も重要だ。
古川氏は、ソフトウェア・サプライチェーンセキュリティの重要性について、「これは単に自社を守るためだけでなく、お客様を守るためでもあります」と強調する。攻撃者はセキュリティ対策が強固なところを避け、脆弱な箇所を狙う。もし自社が脆弱性を抱えている場合、自社だけが攻撃を受けるのではなく、信頼してくれている顧客にまで被害が及ぶ可能性がある。
「『被害者が攻撃者になり得る』というリスクが常に指摘されています。自社の不備が原因でお客様に被害を与えることは、最も避けるべき事態でしょう」(古川氏)
そこで参照してほしいのが書籍『ソフトウェア透明性』だとして、翻訳を企画した藤井氏は「ソフトウェア・サプライチェーンセキュリティを包括的に整理しており、原書は米国でも非常に高い評価を受けています」と語る。実際に原書を読み込み、日本でも十分参考になる情報が含まれていると判断して出版を決意。ソフトウェア・サプライチェーンの問題意識や対策に関する基礎知識を広め、業界全体のセキュリティレベルを引き上げたいという強い想いが込められている。
インテリジェンスセンター統括部長 藤井秀之氏
藤井氏は「ソフトウェアは電力や水道と同じ『社会インフラ』であり、その安全性確保が不可欠です」と続けた。書籍では、OSS(オープンソースソフトウェア)を含むリスク管理、最新のフレームワークなどが丁寧に整理されており、その行動指針や活用法が具体的に示されている点が特徴的だ。
今回、翻訳版の著作にあたり、日本の読者が理解しやすい内容にすることが重視されている。原書は米国で出版されたため英語で書かれており、専門用語や言い回しには日本だと馴染みづらい部分が少なくない。米国特有の表現は日本の読者にも伝わるような翻訳を心がけ、難解な用語や概念には補足を加えるなどの工夫が施された。そのためソフトウェア・サプライチェーンセキュリティに取り組んでいる担当者だけでなく、これから勉強したいという現場のエンジニアや担当者にとっても理解を深めやすい。
ソフトウェア・サプライチェーンセキュリティの背景や脅威、対応する政府機関や民間団体の対応状況などについて体系的、網羅的に理解できる1冊だ
まさに「具体的にソフトウェア・サプライチェーンセキュリティをどう進めるべきかを理解し、活用できる一冊」といっても過言ではないだろう。また、経営層や政策立案者に対しても、その必要性や背景を包括的に理解するために最適だという。
ソフトウェア・サプライチェーンセキュリティは、これまで民間企業の自助努力に委ねられていたが、現在では社会課題として捉え、国や多くのステークホルダーを巻き込んで取り組む必要性が高まっている。最後に藤井氏は「1社で解決できる問題ではなく、社会全体での協力が不可欠です。書籍を通じて、課題の本質を理解し、必要な行動を促すきっかけになれば」と期待を寄せた。
