ソフトウェア・サプライチェーンのセキュリティ対策で考えるべき5つのこと

ソフトウェア・サプライチェーンには、アプリケーションに関わるものすべて、つまりアプリケーションのアセンブル、開発、デプロイに何らかの役割を果たすものすべてが含まれます。その意味では自前のコードやコンポーネント、ソフトウェアで使用する API とクラウド・サービス、さらに、それらのソフトウェアをビルドしてエンド・ユーザーへデリバリする際に使用するインフラもサプライチェーンに含まれます。

最終製品とそのユーザーは、プロセスに関与するすべての部品、人間、活動、材料、手順の影響を受けます。このワークフローの一部にでも弱点があれば、そこからリスクが混入します。このリスクを軽減するには、サプライチェーン全体を完全に理解する以外にありません。ソフトウェア・サプライチェーンの場合もまったく同じです。

サプライチェーンのセキュリティ対策では、アプリケーションをアップストリーム・リスク（ソフトウェアのディストリビューションにおける上流でのリスク）から守ること、そして自らがダウンストリーム・リスクを（ソフトウェアのディストリビューションにおける下流でのリスク）生み出さないようにすることを考える必要があります。

ソフトウェア・サプライチェーンの安全性を確保するための主な検討事項は以下のとおりです。

• セキュアなオープンソースを使用していますか？
• ソフトウェア部品表（SBOM）の提出を求められていますか？
• 自社開発のコードはセキュアですか？
• 開発およびデリバリーに使用しているインフラはセキュアですか？
• 法規制の適用を受ける業種でソフトウェアを開発または利用していますか？