by 藤本 京子
日本シノプシス合同会社は3日、ソフトウェアサプライチェーンのセキュリティリスクを調査した結果について説明会を開催した。
同調査は、米SynopsysがPonemon Instituteに委託して実施したもの。調査対象国は、北米、ヨーロッパ・中東・アフリカ(EMEA)、日本で、安全なソフトウェアサプライチェーンの実現に取り組んでいる組織内でその対策に一定の責任を持つ1278人のITおよびITセキュリティ担当者が回答した。回答者の人数は、北米が613人、EMEAが362人、日本が303人だった。
説明にあたった日本シノプシス ソフトウェア・インテグリティ・グループ シニア・テクニカル・マーケティング・マネージャの松岡正人氏がまず指摘したのは、過去約2年の間にソフトウェアサプライチェーン攻撃が増加したことだ。
「約60%の組織が、これまでにソフトウェアサプライチェーンの攻撃や悪用による影響を受けたと答えている。また、その発生時期については、2年以上前は2割未満だったが、1~2年前、6カ月前~1年前、6カ月以内のそれぞれの時期で約3割にのぼっており、約2年で急激に増加したことがわかる」と松岡氏。より具体的な数値を見ると、日本では合計57%の組織が1年以内にソフトウェアサプライチェーンの攻撃を受けたことになる。
攻撃の根本原因としては、パッチ未適用の脆弱性やゼロデイ脆弱性によるものはもちろんだが、依存関係にあるコンポーネントに悪意のあるコードが存在していたケースや、ビルドパイプラインに悪意のあるコードやマルウェアのインジェクションがあったというケースがそれぞれ約2割で、合計約40%がソフトウェアサプライチェーンを悪用した攻撃だ。攻撃への対応に要した期間については、1カ月以上かかったという組織が、日本でもグローバルでも半数を超えており、半年以上かかったという組織も約1割存在する。
こうした悪意のあるパッケージの影響を受けないよう、ソフトウェアをどのように評価しているか調査したところ、「日本では動的なテストやソースコードのレビュー、依存関係の解析などを実施しているケースがグローバルより低い」と松岡氏。また、サードパーティー製のソフトウェアにおけるマルウェアの有無についても、「アプリケーションの脅威に対する継続的な監視や動的解析を行っている割合がグローバルと比較して日本が明らかに低い」と松岡氏は指摘し、「日本ではリスク混入に対する意識が低い可能性がある」と警告した。
オープンソースソフトウェアのセキュリティ対策については、成果を上げていると答えた割合が日本では51%と、北米の46%やEMEAの45%よりも高かった。ただし、約4割の組織がオープンソースの依存関係を承認および禁止する方法がないと回答しており、「そのような組織はオープンソースプロジェクトにおけるリスクをうまく把握できていない可能性が高い」と松岡氏。また、承認や禁止の手法があってもプロセスを自動化できていない組織は多く、「効率が悪くミスも出やすいので改善の必要があるだろう」としている。
ソフトウェア開発においてはAIの利用も進んでおり、コードの生成にAIツールを活用しているとの回答は日本で51%、グローバルで52%と、それぞれ半数を超えている。そのツールの内訳は、OpenAI Codex(日本46%、グローバル50%)、ChatGPT(日本48%、グローバル45%)、GitHub Copilot(日本39%、グローバル43%)だった。
ところが松岡氏によると、大半の組織はAIの生成したコードのライセンスやセキュリティ、品質リスクを評価するプロセスを導入しておらず、特に日本でそのようなプロセスを導入しているのはわずか29%にとどまっているという。
AIによって生成されたコードを評価している組織では、IPまたはライセンス上のリスクを評価している組織が約半数となっているが、この手法を取り入れている組織の具体的な数値を見ると、北米が59%、EMEAが53%となっている一方、日本は43%とグローバル平均よりもかなり低い割合だ。「日本には、OSSコンプライアンスの要件を定義するOpenChainを牽引している企業が多いにも関わらず、ライセンスリスクを評価している割合が非常に低い」と松岡氏は指摘する。
安全なソフトウェアサプライチェーンを構築するにあたっては、ソフトウェア部品表(SBOM)が不可欠だが、所属する組織がSBOMを作成しているとの回答は日本が37%、グローバルが35%にとどまっている。ただし、要求したSBOMをサプライヤーが提供しない場合、直ちにソフトウェアの使用を中止すると答えたのは日本が45%と、グローバルでの数値よりも高く、松岡氏は「日本はリスク回避のポリシーを採用する組織が多い可能性がある」としている。
最後に松岡氏は、ソフトウェアサプライチェーンのリスクを軽減させる推奨事項として、「アプリケーションのすべての構成要素を可視化すること。また、ソースコード、ファイル、コンテナ、アーティファクト内のオープンソースの依存関係を検出し管理すること。継続的な監視によって新しい脆弱性のリスク状況とそのリスクの重大度を検出すること。AIが生成するコードには、評価が必要なセキュリティ上のリスクがあると理解すること。そして、ソフトウェアサプライチェーンのセキュリティプログラムを成功させる上でベストプラクティスとなるSBOMを管理することだ」と述べた。
