オープンソースで拡大するサプライチェーンリスク、6つの質問で対応策を考察

　オープンソースやサードパーティーソフトウェアの利用が急拡大しているが、それは多くの開発企業が、それらのサプライチェーンの一員として関わるようになったことを意味する。その際に注意したいのが、ソフトウェアを構成する全てのコードやコンポーネント、APIなどのうち、どれか1つでも弱点があれば、全体を攻撃にさらしてエンドユーザーにまで悪影響を与える可能性がある点だ。

　こうしたリスクを軽減するには、サプライチェーン全体を完全に可視化し、対策を強化する必要がある。使用するオープンソースのリスク追跡や、自社開発コードへの弱点の混入防止を行うと同時に、開発やデリバリーに使用しているインフラやAPIなどの通信についても可視化と統制が不可欠だ。

　これらに加えて顧客やステークホルダーに対する透明性の確保も重要であり、法的義務の有無にかかわらずソフトウェア部品表（SBOM）による保守管理はベストプラクティスとなっている。本資料ではこうしたソフトウェアサプライチェーンにおけるセキュリティ対策の指針について、「6つの質問」から具体的な対応策を解説する。