ソフトウェア サプライ チェーンを保護するために今すぐできること
Google Cloud Japan Team
※この投稿は米国時間 2023 年 2 月 22 日に、Google Cloud blog に投稿されたものの抄訳です。
「ソフトウェア サプライ チェーンを保護するために今すぐできることは何ですか」という質問は、ソフトウェア サプライ チェーンの保護、すなわちソフトウェアの開発とデリバリーに関係するコード、人、システム、プロセスの保護について、当チームが IT リーダーや実務担当者と話し合うときによく尋ねられる質問の一つです。
この数年間において、いや率直に言えば今日でさえ、この「ソフトウェア サプライ チェーン」とそれに伴うセキュリティ リスクの概念を他人事のようにとらえている組織は少なくありません。しかし、簡単な教育セッションや事例紹介を行えば、その論理的な背景と問題の緊急性および深刻度は、すぐにご理解いただけます。より高いハードルは、すべてについて言えることですが、実行に移すことです。
ソフトウェア サプライ チェーンを保護するための包括的な施策の導入には時間がかかり、慎重な検討も必要です。そこで、Google は、お客様がこのプロセスに今すぐ着手できるよう、いくつかの具体的な手順の見極めをお手伝いしています。それは、まさにこの論文「Three Actions Enterprise IT Leaders Can Take to Improve Software Supply Chain Security(ソフトウェア サプライ チェーンのセキュリティ強化のために企業の IT リーダーが実践できる 3 つのこと)」の目標でもあります。
この論文では、近年ソフトウェア サプライ チェーンのセキュリティを脅かした 4 つの重要なインシデントを検証しています。それは、Codecov、SolarWinds、Log4j、Browserify のそれぞれに関わる 4 件のインシデントです。これらは、多大なダメージを広範に及ぼしたことでよく知られた事例であり、Log4j や SolarWinds などの特定のインシデントは今日までその影響が尾を引いています。
このような攻撃がなぜ起きたのか、直感的なイラストや図表を使用して解説し、ソフトウェア サプライ チェーンの予備知識や IT セキュリティの経験がなくても理解できる内容になっています。これらの攻撃の分析に加え、対象分野の複数のエキスパートからの聞き取り調査に基づき、ソフトウェア サプライ チェーンを保護するために今日にでも導入できる 3 つの重要な対策事項を特定しました。具体的な手順と役に立つツールの詳細も列記しています。
論文の締めくくりでも述べているのですが、セキュリティの世界では、一歩一歩の積み重ねが着実にセキュリティを強化し、安心感を高めます。完璧にはまだ程遠く感じられるかもしれませんが、これだけやれば安心して休むことができるというラインは設定しなければなりません。
そして最も重要なことは、今すぐ始めることです。
その一歩を踏み出すには、今日にでもこの論文「Three Actions Enterprise IT Leaders Can Take to Improve Software Supply Chain Security(ソフトウェア サプライ チェーンのセキュリティ強化のために企業の IT リーダーが実践できる 3 つのこと)」をダウンロードしてください。
ソフトウェア サプライ チェーンのセキュリティ強化方法に関するその他のリソースも以下にご紹介します。
Twitter スペース: ソフトウェア デリバリー シールドを使用した Google Cloud のソフトウェア サプライ チェーン セキュリティ対策
ブログ: ソフトウェア サプライ チェーンのエンドツーエンドのセキュリティを提供するソフトウェア デリバリー シールドのご紹介
- Google Cloud、プロダクト マーケティング マネージャー Ning Ge