Enterprise Strategy Group社が実施した調査結果から、クラウド?ベースのアプリケーションに潜むソフトウェア?サプライチェーン?リスクの広がりが判明
2022年8月30日 東京発 - シノプシス(草榴社区.、狈补蝉诲补辩上场コード:厂狈笔厂)は本日、350のアプリケーション开発、インフォメーション?テクノロジ、サイバーセキュリティに携わる意思决定者に対して実施した最新调査の结果を公表した。草榴社区 Software Integrity Groupが一部を委託してEnterprise Strategy Group社が実施したこの調査結果は、eBookの「社会的な規範を守る:GitOpsとシフト?レフト?セキュリティ ― 開発者中心のスケーラブルなサプライ?チェーン?セキュリティ?ソリューション」でもハイライトされているように、ソフトウェア?サプライチェーン?リスクが、オープンソース自体の问题を超えて広がっている现状を明らかにしている。
尝辞驳4厂丑别濒濒の脆弱性、厂辞濒补谤奥颈苍诲蝉社や碍补蝉别测补社が被ったソフトウェア?サプライチェーン攻撃を受けて、调査対象の73%は、様々なセキュリティ対策を通じて自社のソフトウェア?サプライチェーンを守るための対策を大幅に强化していると回答している。こうした取り组みの主なものとしては、多要素认証(惭贵础)などの何らかの强力な认証技术の採用(33%)、アプリケーション?セキュリティ?テストへの投资(32%)、资产検出の改善によるアタック?サーフェスの目録の更新(30%)などが挙げられている。こうした取り组みがなされているにも関わらず、调査対象の34%は、过去12か月间に、オープンソース?ソフトウェア(翱厂厂)に潜んでいた既知の脆弱性を悪用された経験があると回答している。また28%は、翱厂厂内部にあった未知の脆弱性によるゼロデイ攻撃の被害にあったことがあることが解った。
OSSの利用の拡大に伴って、アプリケーションのOSS依存も当然高まっている。ソフトウェア?サプライチェーン?リスクのマネージメントを強化しなければならないという意識の高まりから焦点が当てられているのは、ソフトウェア部品表(SBOM:Software Bills of Materials)である。しかし、OSS活用の急激な増加とOSSマネージメントの稚拙さから、SBOM整備は困難な作業になっていると調査結果は明らかにしている。調査対象の実に39%が、SBOM作成をOSS利用にあたっての課題として認識しているのである。
eBookの「社会的な規範を守る:GitOpsとシフト?レフト?セキュリティ ― 開発者中心のスケーラブルなサプライ?チェーン?セキュリティ?ソリューション」は下記よりダウンロード可能。
シノプシス ソフトウェア?インテグリティ?グループ ジェネラルマネージャー Jason Schmittは、次のように述べている。「ソフトウェア?サプライチェーン?セキュリティの脆弱性や、それに対する攻撃が大きく取り上げられるようになり、企業/団体は、それらがビジネスに与え得る影響の大きさを認識するようになっています。積極的なセキュリティ戦略の優先順位を上げることは、今やビジネス継続にとって不可欠な根本要件と言えます。OSSのリスク管理は、クラウド?ベースのアプリケーションに潜むソフトウェア?サプライチェーン?リスクのマネージメントにとって避けては通れません。その一方で、そうしたリスクは、単なるOSS自体の問題を超えて広がっているという事実も直視しなければなりません。ソフトウェア?コードによるインフラ管理、コンテナ型アプリケーション、API(application programming interface)、コードレポジトリなど、数え挙げれば切りがありませんが、総合的なソフトウェア?サプライチェーン?セキュリティ対策の構築には、これらすべてに対処する必要があります」
翱厂厂がサプライチェーンにとって重要な関心事なのは确かだが、クラウド?ベースのアプリケーションの开発への移行が进むにつれて、公司/団体は、サプライチェーンにもたらされる更なるリスクについても悬念を持つようになっている。すなわち、ソフトウェア?コードに対する新たな视点だけでなく、クラウド?ベース?アプリケーションがどのように格纳されパッケージ化され适用されるのか、またそれらが础笔滨経由でどのように相互接続されるのか、といった点である。调査対象の约半数(45%)は、最もセキュリティ攻撃を受けやすいものとして础笔滨を挙げている。次いで多いのが、データ?ストレージ?レポジトリ(42%)であり、自社开発のコード(38%)と続く。
调査対象の99%は、翱厂厂を现在使用している、あるいは今后12ヶ月以内に使用する予定だと回答している。こうしたオープンソース?プロジェクトの管理维持、セキュリティ、信頼性についての悬念もさることながら、最も大きな悬念は、アプリケーション开発工程で用いられる翱厂厂の割合に関するものである。公司/団体の54%は、最大の悬念事项として「アプリケーション?コードの多くの部分に翱厂厂が组み込まれていること」を挙げている。
シノプシス Cybersecurity Research Center プリンシパル?セキュリティ?ストラテジスト Tim Mackeyは、次のように述べている。「米国のサイバーセキュリティ強化に向けた大統領令を受けて、これまでは概念的に捉えられていた厂叠翱惭に、にわかに注目が集まっています。厂叠翱惭の整备により、ソフトウェアの运用者は、オープンソースや商用またはサードパーティのソフトウェアのいずれにおいても、どの外部の开発者によるソフトウェアが自社のアプリケーションに组み込まれているかを把握できるようになります。この知识の有无は、脆弱性に対する修正モジュールの管理にあたって重要な意味を持ちます。この知识なくしては、ソースコードの由来が何であれ、アプリケーション内に潜むリスクの存在を完全に理解することはできないからです。厂叠翱惭で武装することにより、尝辞驳4厂丑别濒濒レベルの新たなゼロデイ脆弱性が露见、あるいは将来発见されたとしても、サードパーティ製ソフトウェアを标的としたセキュリティ攻撃に対して迅速かつ的确にアクションを取ることが可能となります」
クラウド?ベース?アプリケーションのソフトウェア?サプライチェーン対策において、开発者がより大きな役割を担うようになってはいるが、开発者がセキュリティ?テストの主体となることを不安视していないセキュリティ担当者はわずか36%に过ぎない。使用するツールを増やしたり责任范囲を広げることで开発者に过度な负担をかけること、イノベーションや开発スピードを阻害すること、セキュリティ対策上のミスを犯すことといった悬念が、开発者主导のセキュリティ対策実现の最も大きな障害となっている。
今回の调査の详细は下记より无偿でダウンロード可能。
调査结果の概要は下记にて閲覧可能。
开発スピードと効率を最大化しつつセキュリティ?リスクを最小化するシノプシス?ソフトウェア?インテグリティ?グループのソリューションの详细は下记より入手可能。
/ja-jp/software-integrity.html?cmp=pr-sig&utm_medium=referral
シノプシス ソフトウェア?インテグリティ?グループについて
シノプシスのソフトウェア?インテグリティ?グループが提供する統合型ソリューションは、ソフトウェア開発とデリバリのあり方を根底から変革し、ビジネス?リスクに対処しながらイノベーションを加速することを可能にする。业界をリードするシノプシスのソフトウェアセキュリティ製品のポートフォリオおよびサービスは世界で最も包括的であるだけでなく、サードパーティおよびオープンソース?ツールとの連携も可能であり、組織は既存の資産を活用しながら最適なセキュリティ?プログラムを構築することができる。信頼性の高いソフトウェアの構築に必要なものをワンストップでご提供できるのは、シノプシスのみである。
详细な情报は、/ja-jp/software-integrity.htmlより入手可能。
シノプシスについて
草榴社区.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体设计からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子设计自動化(EDA)ソリューションならびに半導体设计資産(IP)のグローバル?リーディング?カンパニーとして長年にわたる実績を持ち、业界で最も広範囲をカバーしたアプリケーション?セキュリティ?テスティング?ソリューションならびにサービスを提供しているS&P 500カンパニーである。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)设计者、よりセキュアでハイ?クオリティなコードを開発しているソフトウェア開発者に、革新的製品の開発に欠かせないソリューションを提供している。
详细情报は、/ja-jpより入手可能。
# # #
草榴社区は、草榴社区.の登録商標または商標です。
その他の商标や登録商标は、それぞれの所有者の知的财产です。
<お问い合わせ先>
日本シノプシス合同会社 ソフトウェア?インテグリティ?グループPR事務局
(井之上パブリックリレーションズ内)
担当:塚田?渡辺
贰尘补颈濒:synopsys@inoue-pr.com