メディア

「Log4jはもうこりごり……」Googleが示す3つの解決策は?

ソフトウェアサプライチェーンのセキュリティについて、Googleが調査報告書を発表した。同社が示す3つの解決策とは。

» 2023年01月12日 07時00分 公開
[Matt KapkoCybersecurity Dive]
Cybersecurity Dive

 Googleのプライバシー・安全・セキュリティ担当バイスプレジデントであるロイヤル・ハンセン氏は「ソフトウェアサプライチェーンのセキュリティは、世界中の政府が直面する最も重大な安全保障上のリスクの一つだ」と2022年12月8日のブログで述べた(注1)。

Googleが示す解決策とは

 Googleが2022年9月に54億ドルで買収した(注2)セキュリティ企業のMandiant(注3)の調査によれば、ソフトウェアサプライチェーンが2番目に多い初期感染経路だという(注4)。

 Googleは2022年12月8日に発表した調査報告書で、複数の内部および外部との関係に依存するオープンソースコンポーネントが、今日のソフトウェアアプリケーションの大部分を占めるため、ソフトウェアサプライチェーンのエコシステムは脆弱(ぜいじゃく)だと指摘した(注5)。

 オープンソースソフトウェアのセキュリティを向上するための施策はボランティアとして行われることが多い。そのため、消費する依存関係の品質を評価し、最新の脆弱性情報に基づいて迅速に対処しなければならない企業には大きな負担がかかると同社は述べる。

 Googleによると、「SolarWinds」(注6)と「Apache Log4j」は最近の最も重要なソフトウェアサプライチェーンの事件であり、エコシステム全体でこれらの課題に取り組むことが急務であることを強調している。

 同社は「Supply chain Levels for Software Artifacts」(SLSA)の機能を拡張し、企業がNIST(米国立標準技術研究所)の安全なソフトウェア開発ガイドラインに適合するためのフレームワークの開発を強化している(注7)。

 Googleはオープンソースコミュニティーからより多くのフィードバックを得るためにSLSAをオープンソース化したが、「世界各国政府に対し、イノベーションを阻害するような施策の断片化や採用を避けるため、可能な限りこれらの問題に対する協調を追求するよう要請する」と述べ、こうした取り組みが世界的に散在する危険性があると警告した。

 Googleは、政府および企業がソフトウェアのサプライチェーンリスクに対処するための3つの中核的な柱を示した。

  • セキュリティのベストプラクティスの採用と標準化
  • 強靭(きょうじん)なソフトウェアエコシステムの構築
  • セキュリティに対する投資の継続

 また、同社は政府や産業界、学界、オープンソースコミュニティーにおいて、これらの目標を実現するための複数の取り組みが進行中であることも指摘した。さらに、ソフトウェアサプライチェーンのレジリエンスの向上を目的とした政策提言のチェックリストも提供している。「サプライチェーンのセキュリティに対する当社のアプローチは、基本的な原則に根ざしている。協調してより良い防御を」とハンセン氏は述べた。

© Industry Dive. All rights reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。