ソフトウェアサプライチェーンのセキュリティリスクの変化

2024 年版ソフトウェア・サプライチェーンのセキュリティ・リスクの現状に関する 6つの重要な調査結果

• 悪意のあるコードやマルウェアによる攻撃の台頭 脆弱性の悪用は依然としてサプライチェーン攻撃の最大の原因ですが、マルウェアや悪意のあるパッケージをベクトルとして利用する意図的な攻撃が急速に増加しています。Ponemon の調査では、回答者の 59%がソフトウェア・サプライチェーン攻撃または悪用による影響を受けており、その大多数が過去 1 年間に攻撃が発生したと述べています。
  
  
• 多くの組織は新たなマルウェアや悪意のあるパッケージという脅威に対処する準備ができていない 回答者のわずか 39%が、自社の経営幹部がソフトウェア・サプライチェーンにおける悪意のあるコードやマルウェアのリスク軽減に非常にまたはかなり熱心に取り組んでいると回答しています。回答者の 63%が自社の組織がサードパーティ・ソフトウェアのマルウェア評価を行っていると回答していますが、そのほとんどは、提供されたソフトウェア部品表を既知の悪意のあるパッケージと照合することに依存しています。アプリケーションの依存関係のバイナリ解析を実施しているのは 45%のみで、継続的な脅威監視を実施しているのは 37%のみでした。
  
  
• 多くの組織はアプリケーション・セキュリティ・ベンダーから新たな脆弱性の情報を入手することに依存している 歴史的に、組織はパブリックなデータベースからの脆弱性データに依存してきました。たとえば、National Vulnerability Database (NVD)です。しかしながら、報告される脆弱性の数が増え続け、パブリックに保守された NVDのようなリソースは、新たな脆弱性の開示に遅れないようにするのに苦労しています。多くのソフトウェア・コンポジション解析ツールは、いまではパブリックデータを補完する、詳細で適時性のある情報を自前のデータベース、たとえば Black Duck® KnowledgeBase™ は脆弱性をさらに速やかに特定し、対処のための推奨事項を提供することで組織を支援します。
  
  
• 脆弱性情報の遅延はソフトウェア・サプライチェーンをリスクに晒す わずか 38%の回答者によれば、彼らの組織は非常に効果的に既知の脆弱性のエクスプロイトを検知しています。ほぼ半分(47%)の回答者は1ヶ月から6ヶ月あれば重大な脆弱性に対応できると答えています。
  
  

• その遅れはオープンソースの依存関係の管理と追跡を自動化していないことによるものです オープンソースとその他のサードパーティのコードは、しばしば「依存関係」を通してアプリケーションに取り込まれます。— パッケージマネージャーによって展開されるコードのライブラリは、他のソフトウェアで使用されます。その便利さゆえに、オープンソースの依存関係のサポートは、ほぼすべての業種のすべてのアプリケーションでサポートされています。実際に、「2024 オープンソース・セキュリティ & リスク分析レポート」では、平均で 526個のオープンソースの依存関係がアプリケーションで見つかっているとしています。
  
  Ponemon researchによれば、ほとんどの組織は自らのソフトウェアに含まれるオープンソースの依存関係がどの程度なのか知らないとのこと。— わずか 39%の回答者がオープンソースの依存関係のインベントリを保持しているとのことです。37%は、手動レビューとか手動での管理を行なっており、41%は手動のコンポーネントのレビューと管理の自動化を組み合わせているとのこと。残る 22%が自動化あるいはポリシーベースのレビューと管理を行なっています。
  
  
• ソフトウェア開発ライフサイクルでのAIの利用が拡大しているが、AIによって生成されたコードのIPおよびライセンスリスクへの対応は遅れ気味 52%の回答者は開発チームがAIツールを活用してコードを生成している。しかし、わずか 32%だけが AI生成コードの検証プロセスがあると答えているにすぎません。
  
  オープンソースのセキュリティ侵害が広く報道されたことで影が薄くなっていますが、IP とライセンスのコンプライアンス・リスクは、ソフトウェア・サプライチェーンのセキュリティ確保に取り組む組織にとって懸念事項です。たとえば、開発者がソフトウェア開発で「スニペット」(プログラムコードの一部分) を使用するのは一般的な方法でが、開発中のソフトウェアにオープンソースのスニペットだけが含まれている場合でも、ソフトウェアのユーザーはスニペットに関連付けられたライセンスに準拠する必要があることを忘れてはなりません。
  
  コード生成のための AI支援ツールの使用が増えていることで、この問題は深刻化しています。AI コード生成アシスタントは、コードのライセンス義務を通知せずにコードスニペットを提案することがあり、そのコードを使用する組織は潜在的な非準拠問題にさらされることになります。ソフトウェアに非準拠のライセンスが 1つでも含まれていると、法的レビュー、M&A取引の凍結、知的財産権の喪失、時間のかかる修正作業、製品の市場投入の遅れにつながる可能性があります。

さらに詳しい情報は、Ponemonのレポート「ソフトウェア・サプライチェーンのセキュリティ・リスクの現状」をダウンロードしてご確認ください。

- このブログ記事の英語版は Shandra Gemmetti によってレビューされました