資料の紹介

 近年、クラウドサプライチェーンを狙った深刻な攻撃が多発している。中でも2020年に発生した米SolarWindsと、2021年に発生した米Kaseyaに対するサイバー攻撃は世界を震え上がらせた。自動ビルド環境や脆弱性を突かれ、またたく間にサプライチェーン全体に被害を及ぼしたからだ。

 SaaSプロバイダーのソフトウエア開発モデルは、オープンソースコードやテンプレート、サードパーティーのコンテナなど数々の依存関係で成り立っている。その点では製造業と似ているが、開発の過程で不良品を洗い出す習慣は徹底されていない。もしコンポーネントの1つに悪意が仕込まれたら、そのまま完成品となって流通してしまう危険性が高い。ライフサイクルが速いだけに難しい課題だが、“部品の可視化”を念頭に置いて開発すべきだ。

 本資料は、クラウドサプライチェーン攻撃の恐ろしさをセキュリティのプロ集団が証明したものだ。大手SaaS事業者から依頼を受け、攻撃側と防御側に分かれて行う実戦的なサイバー演習(レッドチーム演習)を実施。そこからSaaS開発のサプライチェーンに潜むリスクを詳細にあぶり出した。危機が常に隣り合わせであることを知るには最適な資料となっている。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。