ランサムウェアの被害組織から、インシデントに至った経緯や実態が報告書という形で公開されています。組織的・技術的な対策がいくつか挙げられる中、システム・ソフトウェアの提供元である事業者・ベンダーにおける対応や、サプライチェーンの管理について指摘がなされています。
なぜ、重大な脆弱性の対策が行われず、放置されてしまうのか。システムの要件定義の段階で、顧客とベンダーの間でセキュリティ上のリスクについてどこまで検討すればよいのか。運用後の役割分担は誰がどうやって決めればいいのか。ソフトウェアサプライチェーンの管理は、様々なプレイヤーが関係しあって複雑さを増しています。
また、経済安全保障推進法の「基幹インフラの安全性・信頼性の確保」の観点では、重要インフラ企業に国が指定した設備を導入したり・維持管理を外部委託したりする場合には、事前に所管省庁へ届け出が必要となります。具体的には、「設備の製造過程で不正なプログラムが組み込まれず」「サイバー攻撃で被害が出てもサービスが継続可能」であることを求められます。取引先である「設備の納入元」や「維持管理を委託する企業」の情報も、申告対象に含まれます。こうした国の取組に対して、供給する側として備えておくべき、今すぐできる対策とはなにか?
ソフトウェアのライフサイクルを管理するために、提供する側・される側を含め、どういった情報連携をするべきか。「セキュリティ品質確保の管理方法としての、SBOM(Software Bill of Materials)をはじめとしたソフトウェアサプライチェーンに関する取り組み」「先進的な脆弱性管理を行っている企業の事例、取り組みの中でうまくいかない部分」「ツールや管理システムの話だけではなく、業界を巻き込む形での情報連携」などの取り組みについて、ご紹介します。
<要旨>
●インフラ事業者(顧客)とサプライヤー(SIer、販売店)、デベロッパー(ソフトウェアベンダ)の連携
●ソフトウェア管理の透明性の取組(クラウドサービスの選定基準とか、開発委託先管理の話も)