ソフトウェア・インテグリティ・グループの大森健史セキュリティ・コンサルティング マネージング・プリンシパル
ソフトウェア・サプライチェーンのセキュリティ強化の取り組みが大きく前進
日本シノプシス合同会社は11月2日、企業のソフトウェア開発におけるセキュリティ対策を定量的に評価した年次報告書の最新版「BSIMM(セキュア開発成熟度モデル)13」(日本語版)を公開し、ソフトウェア・サプライチェーンのセキュリティ強化の取り組みが大きく前進していることを明らかにした。(佃モビリティ総研・松下次男)
BSIMMはソフトウェア・イニシアティブを測定し、評価するデータ駆除型ツール。250以上のソフトウェア・セキュリティの取り組みに対する注意深い調査、分析を基に作成したものだ。
2008年から公開しており、今回が13回目。データはアドビ、ペイパル、レノボなど世界各国130社の企業・団体から収集しており、BSIMMは年に一度の調査結果報告だけでなく、参加企業・団体にプライベート・コミュニティへの参加機会も提供する。130社の企業の内訳は北米が75%、欧州が13%、残りがアジア太平洋など。
日本語版発表に合わせて開いた記者説明会で大森健史マネージング・プリンシパルは北米が多いのはシノプシスが米国企業のためとし、日本企業もNECプラットフォームズなど3社含まれているとした。また、年々北米以外の企業が増えているとも話す。
レポートによると、近年のサプライチェーン攻撃の増加を受けて、オープンソース・ソフトウェアに潜むリスクの特定や対策として実施されているソフトウェア・サプライチェーン・リスク管理がBSIMM参加企業・団体にとってトップ・プライオリティの要件になっていると分析。
今回の調査で、オープンソース・リスクに関する取り組みが過去12か月間で51%増加していることが判明したことを明らかにした。
また、自動テストをソフトウェア開発ライフサイクル(SDLC)全体を通じて実践する取り組みも大幅に進捗しているという。
BSIMM参加企業・団体はセキュリティの取り組みをCI/CD(継続的インテグレーション/継続的デリバリー)パイプラインや開発者が使用するツールチェーンに気見込んでいく活動が過去12か月で大きく進展。
開発者のツールチェーンにセキュリティ対策プロセスを組み込む動きが50%増加
今回の調査では、品質保証自動化プロセスにセキュリティ・テストも組み込む活動が48%増加したことが分かった。
最終製品やアプリケーションの領域を超えてソフトウェア・セキュリティ対策を拡充する動きも進む。セキュリティ・チームはCI/CDのための自動化プログラムのように、アプリケーションでないソフトウェアのセキュリティを確保するための取り組みを大幅に強化しているにも最近、目立つとした。
さらに今回の調査では、BSIMM参加企業・団体の82%が自動コード・レビュー(静的解析)ツールを活用しいていることも分かった。これにより、使いのセキュリティ・テストを迅速に実施し、SDLC全体のどこかで発生する脆弱性を特定することが可能になるとしている。
大森マネージング・プリンシパルよると、BSIMMレポートの分析から「最早前倒しでテストを行うだけでは不十分であり、SDLCの適切な時期に、適切なコンテキストに特化したテストを行うことが重要になっている」と指摘。
これが可能なのは開発ツールチェーンへのセキュリティ対策プロセスの統合が進んできているためでもあり、両輪でセキュリティ強化に対するアクティビティの進化がみられるとした。
ただ、このような動きはグローバルでの取り組みであり、日本企業ではまだそこまで至っていないケースが多いと警鐘した。
アプリケーション/ソフトウェアの脆弱性をついたサプライチェーン攻撃は米政府機関や企業に甚大な被害をもたらしており、わが国でも自動車関連企業などへのサイバー攻撃が目立つ。
このため、米国ではバイデン大統領がサイバーセキュリティの強化に関する大統領令を発令し、ソフトウェア開発に携わる企業組織のサプライチェーンリスク対応を加速させている。