資料の紹介

 ソフトウエアサプライチェーンに対する攻撃が相次いでいる。2021年12月、JavaのライブラリーであるApache Log4jの脆弱性「Log4Shell」が世界各国で被害をもたらしたことは記憶に新しい。広範に利用されているオープンソースコードが悪用されたことは、IT業界に大きな衝撃を与えた。

 ソフトウエアの開発プロセスは、自動車の製造に似ているとも言われる。部品を入手して独自カスタマイズを施し、成果物として“組み立てる”からだ。当然ながら、何重にもわたる工程の中に脆弱性が1つ含まれるだけで侵入の可能性が出てくる。それだけに、上流から下流までの各段階で安全性の厳格な確認が求められる。

 本資料では、ソフトウエアサプライチェーンをセキュアに保護する考え方を紹介する。まずはソフトウエアサプライチェーンを理解し、業界標準の規格・フレームワークにのっとった開発が必要だと説く。ただし、複雑な工程をつぶさに確認するのは容易ではない。そこでコード、ビルド、デプロイ、実行までのチェック体制を備えたマネージドツールの導入が有効だという。これにより、リスクを最小限に抑えながら、開発者の生産性向上を実現するとしている。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。