ソフトウェアサプライチェーンの保護に果たすAIの役割とは【前編】
マイナビニュース / 2024年6月17日 11時31分
オープンソースソフトウェア(OSS)の利用が拡大する中、2024年3月に発表されたLinux向けのOSSであるファイル圧縮ツール「XZ Utils」に悪意のあるコードが挿入された問題は大きな衝撃を与えた。
こうしたソフトウェアサプライチェーンへの攻撃の加速が予想される一方で、多くのCISOとDevSecOpsチームの対応は遅れている。そこで、前編でソフトウェアサプライチェーン攻撃の概要、後編でセキュアな開発を効率化するAIの役割と、2回にわたりにソフトウェアサプライチェーンの保護について説明する。
OSSを活用したソフトウェアサプライチェーンへの攻撃が増加
OSSとは、周知の通り、誰でも自由に使用、調査、変更、再配布が基本的に無償で行える、ソースコードが公開されているソフトウェアを指す。ソフトウェアに必要な基本機能や特定の機能がライブラリとして用意されていることも多く、これらを活用することで、開発者は開発期間を短縮し、独自の機能開発に注力することができる。
OSSライブラリや言語はいまや広く浸透しており、IT製品のレビュー比較プラットフォームを運営する米国Capterraの調査では、世界中のソフトウェアの90%以上が基盤にOSSを採用している。さらに、同社が米国のITおよびITセキュリティの専門家約300人を対象とした調査でも、回答者の94%が自社でOSSを使用しており、57%が複数のオープンソースプラットフォームを採用していることがわかっている。
また、この調査では、回答者の多くがOSSを脅威として捉えていることも明らかになっている。回答者の約半数がOSSの脅威レベルを「高(High)」または「極度(Extreme)」と回答しており、41%が「中(Moderate)」と回答している。その理由は、ソフトウェアサプライチェーン攻撃の増加への懸念であった。
ソフトウェアサプライチェーン攻撃とは、ソフトウェアが提供される前に、そのソフトウェアの開発、製造、提供のいずれかの工程に侵入して、不正コードやマルウェアを混入する手口である。また、ソフトウェアを構成するライブラリなどに脆弱性が発見され、多くのソフトウェアが脅威にさらされるケースもある。これらのリスクはOSSに限らない。
この攻撃の特徴は、パッチの適用やアップデートといった通常の対応によって、正規のソフトウェアが危険なものに変わってしまうことにある。例えば、バックドアを設置されて、企業ネットワーク内に不正侵入されて重要な情報を盗み出されたり、ランサムウェアに感染させられたりしてしまう。OSSが脅威として見なされているのはこのためだと考えられる。
ソフトウェアサプライチェーン攻撃の事例
この記事に関連するニュース
-
GitLab、世界中の企業のソフトウェア開発に関する調査結果をまとめたDevSecOps 調査レポートを発表
PR TIMES / 2024年6月25日 16時15分
-
ソフトウェア開発は経営幹部と実務作業者でセキュリティ・生産性の認識に乖離
マイナビニュース / 2024年6月25日 15時31分
-
ソフトウェアサプライチェーンの保護に果たすAIの役割とは【後編】
マイナビニュース / 2024年6月18日 10時21分
-
誰もが信頼している製品・サービスに潜む脆弱性 まさかの「アップデートしたら感染」する事例も
東洋経済オンライン / 2024年6月17日 9時0分
-
Datadogの調査レポートから見る、DevSecOpsの適用に向けた実態
マイナビニュース / 2024年6月5日 11時18分
ランキング
-
1Amazon、10回目の「プライムデー」を7月16日から2日間開催 100万点以上が“特別価格“に
ITmedia NEWS / 2024年6月25日 21時15分
-
2「虎に翼」、髪の毛ボサボサな新キャラに驚きの声 「化けてるよ凄っ」「どこかで見たお顔? と思ったら」
ねとらぼ / 2024年6月25日 18時22分
-
3「GTO」出演後、消息をたった“幻の男”が登場 菊池風磨&小芝風花が再会し「変わってない!」と喜び
ねとらぼ / 2024年6月24日 20時8分
-
4いつでもどこでもSFCを美麗画面で!携帯型SFC互換機「IPS 16ビットポケットHD」発表―2024年9月下旬発売予定
Game*Spark / 2024年6月26日 11時36分
-
5「ねこ、かわいい」が詰まったイヤホン。電源オンで「みゃー」
ASCII.jp / 2024年6月25日 18時0分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください
![](/pc/img/mission/mission_close_icon.png)