サプライチェーンのセキュリティ対策で考えるべき6つのこと

ソフトウェア・サプライチェーンには、アプリケーションに関わるものすべて、つまりアプリケーションのアセンブル、開発、デプロイに何らかの役割を果たすものすべてが含まれます。その意味では自前のコードやコンポーネント、ソフトウェアで使用する API とクラウド・サービス、さらに、それらのソフトウェアをビルドしてエンド・ユーザーへデリバリする際に使用するインフラもサプライチェーンに含まれます。

最終製品とそのユーザーは、プロセスに関与するすべての部品、人間、活動、材料、手順の影響を受けます。このワークフローの一部にでも弱点があれば、そこからリスクが混入します。このリスクを軽減するには、サプライチェーン全体を完全に理解する以外にありません。ソフトウェア・サプライチェーンの場合もまったく同じです。

サプライチェーンのセキュリティ対策では、アプリケーションをアップストリーム・リスク（ソフトウェアのディストリビューションにおける上流でのリスク）から守ること、そして自らがダウンストリーム・リスクを（ソフトウェアのディストリビューションにおける下流でのリスク）生み出さないようにすることを考える必要があります。

以下に挙げる6つの質問にお答えいただくことで、サプライチェーンのセキュリティ対策のあるべき姿と現在の弱点を把握し、今後のセキュリティ・アクティビティに役立てていただくことができます。

• セキュアなオープンソースを使用していますか？
• 自社開発のコードはセキュアですか？
• 巧妙に仕込まれた悪意あるコードから防御できていますか？
• 開発およびデリバリに使用しているインフラはセキュアですか？
• 他システムとの通信に使用しているAPIとプロトコルはセキュアですか？
• 顧客やその他のステークホルダーに対してソフトウェア・サプライチェーンの透明性が確保されていますか？