申し訳ありませんが、この言語ではまだご利用いただけません

サプライチェーンのセキュリティ対策で考えるべき6つのこと

ソフトウェア・サプライチェーンには、アプリケーションに関わるものすべて、つまりアプリケーションのアセンブル、開発、デプロイに何らかの役割を果たすものすべてが含まれます。その意味では自前のコードやコンポーネント、ソフトウェアで使用する API とクラウド・サービス、さらに、それらのソフトウェアをビルドしてエンド・ユーザーへデリバリする際に使用するインフラもサプライチェーンに含まれます。

最終製品とそのユーザーは、プロセスに関与するすべての部品、人間、活動、材料、手順の影響を受けます。このワークフローの一部にでも弱点があれば、そこからリスクが混入します。このリスクを軽減するには、サプライチェーン全体を完全に理解する以外にありません。ソフトウェア・サプライチェーンの場合もまったく同じです。

サプライチェーンのセキュリティ対策では、アプリケーションをアップストリーム・リスク(ソフトウェアのディストリビューションにおける上流でのリスク)から守ること、そして自らがダウンストリーム・リスクを(ソフトウェアのディストリビューションにおける下流でのリスク)生み出さないようにすることを考える必要があります。

以下に挙げる6つの質問にお答えいただくことで、サプライチェーンのセキュリティ対策のあるべき姿と現在の弱点を把握し、今後のセキュリティ・アクティビティに役立てていただくことができます。

  • セキュアなオープンソースを使用していますか?
  • 自社開発のコードはセキュアですか?
  • 巧妙に仕込まれた悪意あるコードから防御できていますか?
  • 開発およびデリバリに使用しているインフラはセキュアですか?
  • 他システムとの通信に使用しているAPIとプロトコルはセキュアですか?
  • 顧客やその他のステークホルダーに対してソフトウェア・サプライチェーンの透明性が確保されていますか?

eBookをダウンロード