シノプシスは、アプリやサイバーセキュリティなどに携わる意思決定者に対して実施した最新調査の結果を公表した。
Log4Shellの脆弱性やSolarWinds社、Kaseya社が被ったソフトウェア・サプライチェーン攻撃を受けて、調査対象の73%は様々なセキュリティ対策を通じて自社のソフトウェア・サプライチェーンを守るための対策を大幅に強化しているという。
主な取り組みとしては多要素認証(MFA)など、何らかの強力な認証技術の採用(33%)、アプリケーション・セキュリティ・テストへの投資(32%)、資産検出の改善によるアタック・サーフェスの目録の更新(30%)などが挙げられている。
しかし、こうした取り組みがなされているにも関わらず、調査対象の34%では、過去12 ヵ月間にオープンソース・ソフトウェア(OSS)に潜んでいた既知の脆弱性を悪用された経験があると回答。
また28%は、OSS内部にあった未知の脆弱性によるゼロデイ攻撃の被害にあったことがあることがわかったという。
シノプシスソフトウェア・インテグリティ・グループ ジェネラルマネージャーのJason Schmitt氏は次のように述べている。
「ソフトウェア・サプライチェーン・セキュリティの脆弱性や、それに対する攻撃が大きく取り上げられるようになり、企業/団体は、それらがビジネスに与え得る影響の大きさを認識するようになっています。積極的なセキュリティ戦略の優先順位を上げることは、今やビジネス継続にとって不可欠な根本要件と言えます。OSSのリスク管理は、クラウド・ベースのアプリケーションに潜むソフトウェア・サプライチェーン・リスクのマネージメントにとって避けては通れません。その一方で、そうしたリスクは、単なるOSS自体の問題を超えて広がっているという事実も直視しなければなりません。ソフトウェア・コードによるインフラ管理、コンテナ型アプリケーション、API(application programming interface)、コードレポジトリなど、数え挙げれば切りがありませんが、総合的なソフトウェア・サプライチェーン・セキュリティ対策の構築には、これらすべてに対処する必要があります」
【関連記事】
・シノプシス、開発速度と不具合修正コストの両立を叶えるプラグインを提供開始
・大企業の4割がサプライチェーンにサイバー攻撃被害 日経リサーチとトレンドマイクロが調査結果を発表
・チェック・ポイント、組織が行うべきサイバー攻撃への予防策を公開
