ニュースリリース - 2024年7月3日

日本の企業/団体の57％は過去1年間にソフトウェア・サプライチェーン攻撃を受け、 23％が攻撃の検知と対処に苦慮

シノプシス・ソフトウェア・インテグリティ・グループがPonemon Instituteの調査レポートを発表

2024年7月3日東京発 - 日本で事業展開している企業/団体の57％が過去1年間にソフトウェア・サプライチェーン攻撃を受けており、多くの組織が増加するリスクに対応できていないことが分かった。グローバル全体の結果である54％より高かった。シノプシス（Synopsys, Inc.、Nasdaq上場コード:SNPS）は、Ponemon Instituteの調査レポート“ソフトウェア・サプライチェーン・セキュリティ・リスクの状況”により明らかにした。日本、グローバル全体ともに、50％の組織は、攻撃に対応するのに1か月以上かかった。日本の回答者の23％（グローバル20％）は、自分たちの組織にはこれらの攻撃を効率的に検出/対処する能力がないと回答した。

本調査は、安全なソフトウェア・サプライチェーンの実現に取り組む組織に属し、組織のソフトウェア・サプライチェーン・セキュリティ戦略に一定の責任を持つIT担当者およびITセキュリティ担当者1,278名を対象に実施された。対象地域/国は、北米（回答者 613 名）、ヨーロッパ/中東/アフリカ（回答者 362 名）、日本（回答者 303 名）である。

レポートによると、AIはソフトウェア開発ライフサイクル全体に普及している。回答者の半数（日本51％、グローバル52％）は、開発チームがコードを生成するためにAIツールを利用していると回答し、具体的にOpenAI Codex（日本46％、グローバル50％）、ChatGPT（日本48％、グローバル45％）、GitHub Copilot（日本39％、グローバル43％）を挙げた。AIの使用により意思決定が自動化され、効率化が図られている一方、AI生成コードの安全性を確保する策がほとんど講じられていないことを示す結果もある。AI生成コードのライセンス、セキュリティ、品質リスクを評価するプロセスを導入している日本の組織は、わずか29％（グローバル32％）だった。

セキュリティ・リスクを最小化するにあたって意思決定者の責任意識が不十分であることへの懸念も明らかになった。組織の責任者がマルウェアのリスクを低減することに熱心に取り組んでいるとの回答は、日本では38％（グローバル39％）だった。日本の47％（グローバル45％）が、SolarWindsのようなサプライチェーンの侵害がソフトウェア・サプライチェーン・セキュリティへの投資増加につながったと回答しているが、サプライチェーンのセキュリティ確保に充てられるリソースが十分または非常に十分であるとの回答は日本で37％（グローバル38％）にとどまっている。

シノプシス　ソフトウェア・インテグリティ・グループ　ジェネラル・マネージャー　Jason Schmittは、次のように述べている。「ソフトウェア・サプライチェーン攻撃が世界中の企業/団体にますます広がっているにもかかわらず、本レポートから、組織のソフトウェア開発プロセスやセキュリティ基準は依然として弱点を抱えていることが浮き彫りになりました。攻撃者は巧妙になり、これまで以上に多くの弱点を見つけて、機密データを盗み、マルウェアを埋め込み、システムを制御します。特にAI生成コードが増加するなか、セキュリティ対策チームは、アプリケーションの可視性を維持し、知的財産（IP）、セキュリティ上の脅威、コード品質を継続的に評価してリスクを低減する必要があります」

主な調査結果は次の通り。

• SBOMの整備を見送る組織がある

ソフトウェア部品表（SBOM）は、安全なソフトウェア・サプライチェーンを構築するために不可欠だが、所属する組織がSBOMを作成しているとの回答は日本で37％（グローバル35％）だった。さらに、要求したSBOM をサプライヤーが提供しない場合、直ちにソフトウェアの使用を中止するという日本の回答は45％（グローバル40％）だった。組織がSBOMを作成する主な理由は、一般的な依存関係と脆弱性管理（日本53％、グローバル50％）、業界の規制（日本36％、グローバル39％）、顧客の要求（日本40％、グローバル38％）、政府の要求（日本41％、グローバル38％）となっている。

• オープンソースの脆弱性は依然として大きなリスク

日本の69％（グローバル65%）は開発チームがオープンソース・ソフトウェアを使用していると回答しているが、所属する組織がサプライチェーン内のオープンソース・ソフトウェアの安全性を効率的または非常に効率的に確保しているとの日本の回答は51％（グローバル47％）だった。

“ソフトウェア・サプライチェーン・セキュリティ・リスクの状況”の詳細は下記より入手可能

https://www.synopsys.com/ja-jp/software-integrity/resources/analyst-reports/software-supply-chain-security.html?cmp=pr-sig&utm_medium=referral

関連ブログは下記より閲覧可能

https://www.synopsys.com/ja-jp/blogs/software-security/software-supply-chain-security-report.html?cmp=pr-sig&utm_medium=referral

関連ウェビナーは下記より参加可能

https://www.brighttalk.com/webcast/13983/611413

※レポート“ソフトウェア・サプライチェーン・セキュリティ・リスクの状況”は、グローバル全体の回答を分析したものです。日本の回答結果は調査の一次データから抽出し、本プレスリリースのみに掲載しています。

シノプシス・ソフトウェア・インテグリティ・グループについて

シノプシスのソフトウェア・インテグリティ・グループは、ソフトウェアを開発/提供するための手法の転換を実現する統合ソリューションを提供している。これにより開発チームは、リスクを最小限に抑えながらイノベーションを加速することが可能となる。シノプシスが業界をリードするソフトウェア・セキュリティ対策ツール・ポートフォリオならびにサービスは、世界で最も包括的なソリューションであるだけでなく、サードパーティー並びにオープンソースのツールとの相互運用も実現している。そのため、企業/団体は、現在使用している開発ソリューションを活用しつつ、自社に最適なセキュリティ対策手法を構築することができる。ソフトウェアの信頼性確保に必要となるあらゆる開発ソリューションを提供している企業はシノプシスのみである。

詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.htmlより入手可能。

シノプシスについて

シノプシス（Nasdaq: SNPS）は、電子設計自動化からシリコンIP、システム検証ならびに妥当性確認に至る、信頼性の高い包括的なシリコン to システム設計ソリューションの提供により、広がりゆく知の時代を切り開いている。幅広い業界の半導体およびシステム開発企業との緊密な協業を通じて、その研究開発能力と生産性を最大限にまで高め、明日の創造力に火をつける今日のイノベーションに貢献している。

詳細情報は、https://www.synopsys.com/ja-jpより入手可能。