Blog Home

セキュアなソフトウェアサプライチェーンを実現するための3つのステップ

akirau

By akirau

< 1 min read

ソフトウェアサプライチェーン攻撃のイメージ

はじめに

企業や組織のソフトウェアサプライチェーンには、ソフトウェアの開発や配布、運用までの一連の流れに関わるコード、ツール、プロセス、人、組織全体のあらゆる要素が含まれます。

昨今のソフトウェアサプライチェーンは益々複雑な構造になっており、この複雑な構造間をついた不備がセキュリティ脅威の潜在的な侵入経路となり大規模な被害を引き起こすことが問題となっています。

ガートナー社の最新の調査によると、ソフトウェアサプライチェーン全体の可視性と保護を欠いた企業において、ソースコード、ツール、オープンソースコンポーネント、開発プロセスなどを標的とした攻撃が大幅に増加しているといいます。そのため2023年4月までの12か月間で、米国企業のほぼ3分の2(61%)がソフトウェアサプライチェーン攻撃の直接的な被害を受けたとしています。

事実:

  • 2023年4月までの12か月間で、米国企業の61%がソフトウェアサプライチェーン攻撃の直接的な影響を受けた。
  • 2025年までに60%の企業が、SBOM(ソフトウェア部品表)の整備を行う見込み。
  • SCAツールの90%が、SBOMを生成・検証可能となりOSSの安全な利用を支援する見込み。

1. すべてのオープンソースパッケージを初期段階で管理・選別

現代のソフトウェア開発においてOSS(オープンソースソフトウェア)の利用は一般的となりましたが、活用の利点を享受する一方で、セキュリティ、コンプライアンス、品質を確保する必要があります。そのためには利用するOSSを徹底して管理・選別する必要があるのです。

2. SDLCの各段階で一貫したセキュリティ対策を実施

ソフトウェアサプライチェーンを安全に保護するには、SDLC(ソフトウェア開発ライフサイクル)の全フェーズで一貫したセキュリティを適用することが極めて重要です。これは、 シフトレフト(Shift Left)による予防処置と、シフトライト(Shift-right)による対応処置の両方を適用することを意味します。

3. DevOpsとSecOpsの緊密な連携を促進する

ソフトウェアサプライチェーンを真に強化するには、DevOpsチームとセキュリティチーム間の摩擦を排除し、協働ワークフロー環境を構築する必要があります。

日立ヴァンタラが一貫したセキュリティ態勢を維持する方法

日立製作所の完全子会社である日立ヴァンタラ株式会社は、買収による拠点分散などが重なり、最大30の開発者グループが分断された環境下でシステム開発を行っていました。

同社はこれらの課題解決に向け、DevOpsの中核にJFrogソフトウェアサプライチェーンプラットフォームを採用しました。これによりビルド時間は25〜30%短縮され、全サイトで既知の脆弱性からソフトウェアサプライチェーン全体を保護しています。

「カスタマイズを必要とせずに中央のリポジトリにあるもの全てを自動でスキャンするためJFrogは本当に役に立っています」
—— ラリー・グリル氏(日立ヴァンタラ DevSecOpsシニアマネージャー)

まとめ

ソフトウェアサプライチェーンへの攻撃とそれに伴うコストは深刻化が予測されます。JFrogを導入することで、急増するオープンソースパッケージへの対応や修正の優先順位付けを効率化し、開発者の生産性を維持しながら強固なセキュリティを実現できます。

JFrogについて

JFrog(ジェイフロッグ)は、フォーチュン100企業の多くを含む世界中数百万のユーザーに利用されています。Artifactoryを中核としたユニバーサルなDevOpsプラットフォームを提供し、ソフトウェア開発から配布までの全プロセス(サプライチェーン)の自動化・管理を支援します。

JFrogプラットフォームを体感する

貴社のソフトウェアサプライチェーンに、かつてない透明性とセキュリティを。

JFrogをさらに詳しく調べる

Popular Tags