|
市場調査レポート
商品コード
1648089
エンタープライズ・ソフトウェア・サプライチェーンにおけるクローズドソースとSaaSアプリケーションのセキュリティ確保Securing Closed Source and SaaS Apps in the Enterprise Software Supply Chain |
||||||
|
|||||||
| エンタープライズ・ソフトウェア・サプライチェーンにおけるクローズドソースとSaaSアプリケーションのセキュリティ確保 |
|
出版日: 2025年01月31日
発行: IDC
ページ情報: 英文 7 Pages
納期: 即納可能
 |
- 全表示
- 概要
- 目次
このIDC Perspectiveでは、ソフトウェアサプライチェーンのセキュリティ保護が、オープンソースコードだけでなく、クローズドソースアプリケーションやSaaSアプリケーションにまで拡大しなければならない理由について、ガイダンスを示します。サードパーティのクローズドソースアプリケーションとSaaSアプリケーションは、企業のソフトウェアサプライチェーンにおいて、オープンソースコードと並んで重要な位置を占めることがよくあります。ある面では、クローズドソースとSaaSのソフトウエア資産は、オープンソースのコンポーネントよりもリスクが小さいです。加えて、クローズドソースのアプリに影響を与える脆弱性は、多くの場合、一般に公開されないため、脅威行為者が脆弱性を知り、悪用する可能性が低くなります。それでも、クローズドソースとSaaSのアプリは、ソフトウェアのサプライチェーンのセキュリティを阻害する多くのリスクにさらされる可能性があります。そのため、企業は、たとえアプリがオープンソースでなくても、サプライチェーン内のサードパーティアプリを追跡できなければならないです。そうすることは、企業がクローズドソースソフトウェアに関連するセキュリティ上の欠陥やインシデントが自社に影響を及ぼすかどうかを迅速に判断し、ベンダーがソフトウェアに自動的にパッチを適用しない場合に(例えば)パッチをインストールすることによって、そのような問題に迅速に対応できるようにするために重要です。IDCのITエグゼクティブプログラム(IEP)の非常勤リサーチ・アドバイザーであるクリストファー・トッツィ(Christopher Tozzi)氏は、次のように述べています。「サードパーティのクローズドソースソフトウェアとSaaSアプリは、オープンソースのセキュリティリスクに主眼が置かれがちなソフトウェアサプライチェーンのセキュリティの文脈では、見過ごされがちです。しかし現実には、安全でないクローズドソースコードや、他者によってホストされているソフトウェアも、オープンソースの脆弱性と同等の脅威をもたらす可能性があり、ソフトウェアサプライチェーンのセキュリティ戦略と実践を、オープンソースだけにとどまらないものにすることが重要です。」
エグゼクティブスナップショット
状況概要
- ソフトウェアサプライチェーンのセキュリティにおけるクローズドソースおよびSaaSアプリの役割
- サードパーティのクローズドソースおよびSaaSアプリのセキュリティ確保が重要な理由
テクノロジー購入者へのアドバイス
- 戦略的実践
- 戦術的実践
参考資料
- 関連調査
- 要約
This IDC Perspective offers guidance on why software supply chain security protections must extend to closed source and SaaS applications as well as open source code. Third-party closed source applications and SaaS apps often feature prominently alongside open source code in enterprise software supply chains. In some respects, closed source and SaaS software assets pose less of a risk than open source components because vendors are more likely to manage security risks in the former types of assets for their customers. In addition, vulnerabilities that impact closed source apps are often not disclosed publicly, reducing the chances that threat actors will learn about and exploit them.Nonetheless, closed source and SaaS apps can be subject to a number of risks that can hamper software supply chain security. For that reason, businesses must be able to track third-party apps in their supply chains, even if the apps are not open source. Doing so is important for ensuring that businesses can determine quickly whether security flaws or incidents involving closed source software impact them, as well as to react quickly to such issues by (for example) installing patches in cases where the vendor does not automatically patch its software.Unfortunately, managing software supply chain risks associated with third-party closed source apps and SaaS is not as straightforward as managing third-party open source code. However, it is possible using approaches like application inventory management, SaaS discovery, and the extension of SBOM practices to provide visibility into closed source and SaaS applications."Third-party closed source software and SaaS apps are easy to overlook in the context of software supply chain security, which tends to focus mostly on open source security risks," says Christopher Tozzi, adjunct research advisor, IDC's IT Executive Programs (IEP). "However, the reality is that insecure closed source code and software hosted by someone else can pose just as much of a threat as open source vulnerabilities, making it critical to extend software supply chain security strategies and practices beyond open source alone."
Executive Snapshot
Situation Overview
- The Role of Closed Source and SaaS Apps in Software Supply Chain Security
- Why Securing Third-Party Closed Source and SaaS Apps Is Key
Advice for the Technology Buyer
- Strategic Practices
- Tactical Practices
Learn More
- Related Research
- Synopsis
