Software Supply Chain Attacks Hit 61% of Firms
2023/05/12 InfoSecurity — Capterra の最新のレポートによると、これまでの1年間において米国企業の5分の3以上 (61%) が、ソフトウェア・サプライチェーンからのダイレクトな影響を受けていたことが分かった。この調査は、サードパーティー・ソフトウェアにおける脆弱性のリスクについて、米国企業の理解を深めることを目的にしたものであり、271人の IT 専門家/IT セキュリティ専門家を対象に実施された。回答者の半数は、ソフトウェア・サプライチェーンの脅威を “High” または “Extreme” と評価しており、さらに 41%は “Moderate” と評価している。
Gartner 傘下の Capterra は、サプライチェーン・リスクの主要な原因として、オープンソース・ソフトウェアを挙げている。同社のレポートでは、現時点において、米国企業の 94%が何らかの形でオープンソースを使用しており、半数以上 (57%) が複数のオープンソース・プラットフォームを使用していることが明らかになっている。
Capterra のアナリストである Zach Capers は、「この数字は、おそらく始まりに過ぎない。完全なオープンソースとは言えない、大半のソフトウェア・プラットフォームであっても、生産スピードを上げるために開発者が活用する、オープンソース・パッケージが多く含まれている」と述べている。
実際に、オープンソースの脅威は、何度もカタログ化されている。Sonatype は、2019年〜2022年に、上流のオープンソース・パッケージに仕込まれたサプライチェーン・マルウェアが 742% も増加したと記している。また Linux Foundation は、平均的なアプリケーション開発プロジェクトには、80件のダイレクトな依存関係にまたがる、49件の脆弱性が存在していることを明らかにしている。
Capers は、アプリの氾濫が、この分野におけるサイバー・リスクを高めていると主張している。同社は、これまでの2年間において、サイバー攻撃を経験した小売業者は、攻撃を経験しなかった小売業者と比べて、アプリの氾濫による影響を受けたと報告する割合が、2倍以上 (53%:22%) であると明らかにした。
それぞれの組織に対して推奨されるのは、アプリの氾濫を減らすと同時に、ベンダーやオープンソース・プロバイダーに対して SBOM (Software Bill Of Materials) を要求し、個々のコンポーネントの追跡を可能にすることだ。
しかし現時点において、そのような対策を実施している回答者は半数 (49%) に過ぎない。前述の対策以外で推奨されるのは、64%の企業が現在実施しているソフトウェア・サプライチェーンに関する正式なリスク評価および、特権アクセス管理 (61%)、ハニーポットの導入 (34%) などである。
ソフトウェア・サプライチェーン攻撃が、米国企業の 61%で発生していたという、なんとなく納得できてしまう調査結果です。2023/02/01 の「サプライチェーン調査:3rd パーティーから 4th パーティーへの可視化の拡大が不可欠」にあるように、単に3rd パーティを心配するだけでは不十分であり、その先に連なる 4th/5th ・・・ パーディまで考える必要があるからです。また、今日の記事では API について触れられていませんが、ここもオープンソースと並んで、大きな問題となっています。
IoT OT Security News 
You must be logged in to post a comment.