CISOのための洞察：ソフトウェアサプライチェーンセキュリティ分野における課題と機会

従来のアプリケーション・セキュリティテストを超えたソフトウェアサプライチェーンセキュリティの再考

ソフトウェアサプライチェーンセキュリティ（SSCS）とは、ソフトウェア開発（初期コーディングとテスト）からランタイムまでのフェーズをカバーするサイバーセキュリティ攻撃からソフトウェア開発ライフサイクル（SDLC）を保護するツール、サービス、および、実践を含むセキュリティソリューションを指します。SSCSが保護する典型的なベクトルには、オープンソースやサードパーティのコンポーネント（ライブラリやフレームワーク）、プロプライエタリなコード、リポジトリ、開発ツール、開発者アカウント／コード共有プラットフォームなどがあります。

攻撃対象が拡大し続け、ソフトウェアサプライチェーンにおけるサイバー脅威が増大していることから、SSCSは組織のサイバーセキュリティ戦略にとって不可欠なものとなっています。サードパーティのコードの脆弱性の悪用やクラウドサービスの設定ミスに至るまで、ソフトウェアサプライチェーンのインシデントの報告は、紛れもなく一般的になっています。こうした攻撃には、専有コードや商用コードが含まれ、ソフトウェアの生産者や消費者にセキュリティ、規制、運用上の影響を及ぼしています。

技術の進歩とサイバー脅威によってSSCSの状況が継続的に進化するにつれて、SSCSベンダーはSDLCの様々な段階を保護するための幅広い機能、アプローチ、戦略を提供しています。あるベンダーは左シフトソリューションの提供に重点を置き、あるベンダーは右シフトを採用し、またあるベンダーはSDLCの構築後とデプロイ前の段階に重点を置いています。

今日の企業がソフトウェアサプライチェーンを保護し、この現代のデジタルランドスケープにおける持続可能な成功を確実にするために、包括的なSSCSを採用することは不可欠です。しかし、多くのCISOは、SSCSの複雑さ、進化する脅威のベクトル、サードパーティやオープンソースのコンポーネントの急速な導入のために、SSCSについてまだ混乱しています。組織は「様子見」のアプローチを採用し、SSCSを確保するための基本的なテクノロジーに依存することを好むか、断片的な方法でSSCSに取り組み、約束されたセキュリティを享受できなかった初期の採用者の一人です。

この洞察では、SSCSの進化を検証し、SSCSのギャップを特定し、CISOがより広範なSSCS保護のために、より多くの情報に基づいた意思決定を行うことを可能にするフレームワークやアプローチを評価します。

目次

戦略的インペラティブ（TM）

成長機会分析、ソフトウェアサプライチェーンセキュリティSSCSの概要

• SSCSの進化とソフトウェアサプライチェーン攻撃
• SSCSとAppSecの違い
• ソフトウェア生産者とソフトウェア消費者の責任分担
• 戦略的インペラティブの拠点にあるSSCS
• 主要ツールと実践

成長機会：ソフトウェアサプライチェーンセキュリティSSCSの世界

• 成長機会1：エンドツーエンドの可視化のための単一プラットフォームによるオーケストレーション
• 成長機会2：ジェネレーティブAIを活用したAI主導のリスク管理
• 成長機会3：セキュアなコラボレーションと脅威インテリジェンスの共有

おわりに

付録：ソフトウェアサプライチェーンセキュリティベンダーのプロファイル

• Checkmarx
• JFrog
• Lineaje
• NSFOCUS
• ReversingLabs
• Sonatype
• Veracode

変革的成長の旅