- 過去1年間に組織の65%がサプライチェーン攻撃に直面
- GenAIの導入がリスクを悪化;AI生成コードをセキュリティやIP問題の観点で分析しているのは24%のみ
- コンプライアンスと継続的な自動化により、修復速度と防御の有効性が向上
ソフトウェアサプライチェーン――ソフトウェアを開発・ビルド・提供するために用いられるコンポーネント、ツール、プロセスのネットワーク全体――は、新たに非常に人気の高い攻撃対象領域へと進化しており、サイバー犯罪者に標準的な防御を回避する機会を与え、単一の侵害から不釣り合いに大きな報酬を得られるようにしています。
これは、アプリケーションセキュリティ企業Blackduckが公開した新たな詳細レポート「急速リリース時代におけるソフトウェアサプライチェーンリスクの航海(Navigating Software Supply Chain Risk in a Rapid-Release World)」によるものです。
ソフトウェアセキュリティのリーダー540人への調査に基づき、同レポートは、過去12か月で組織の3分の2(65%)が少なくとも1回のサプライチェーン攻撃を経験したと述べています。
コンプライアンスが鍵
これらのインシデントはますます多面的になっており、組織は悪意のある依存関係(30%)、未パッチの脆弱性(28%)、ゼロデイ攻撃(27%)、ビルドパイプラインへのマルウェア注入(14%)を報告しています。
企業における生成AI(GenAI)の導入スピードは、状況をさらに悪化させています。Blackduckによれば、現在ほぼすべて(95%)の組織がソフトウェア開発にAIツール(主にChatGPT)を活用していますが、セキュリティ手順が追いついていません。ツールへの信頼は高い一方で、実際の検証は驚くほど低いのです。
実際、AI生成コードをIP、ライセンス、セキュリティ、品質といったリスクの観点で分析している組織は4分の1(24%)にとどまります。レポートは、これによりサプライチェーンに脆弱性が入り込む余地が大きくなり、著作権で保護されたIPの混入や、機密APIキーの露出などにつながり得ると指摘しています。
防御を強化するには、コンプライアンスを慎重に検討すべきです。Blackduckは、一般的な認識とは逆に、コンプライアンスを優先するアプローチは実際にはセキュリティ対応時間を短縮すると主張しています。
強固なコンプライアンス統制と修復速度の間には明確な相関があるようで、少なくとも4種類のコンプライアンス統制を用いている組織の54%は、一般の回答者集団の45%と比べて、重大な脆弱性への対応が著しく速いとされています。
さらに、自動化は不可欠であるようです。回答者の約36%が現在行っている定期的な手動監視に依存する方法は、広く不十分だと見なされています。一方で、自動の継続的監視を行っている組織は「はるかに効果的」と評されています。
