「Log4jはもうこりごり……」Googleが示す3つの解決策は？

ソフトウェアサプライチェーンのセキュリティについて、Googleが調査報告書を発表した。同社が示す3つの解決策とは。

[Matt Kapko，Cybersecurity Dive]

　Googleのプライバシー・安全・セキュリティ担当バイスプレジデントであるロイヤル・ハンセン氏は「ソフトウェアサプライチェーンのセキュリティは、世界中の政府が直面する最も重大な安全保障上のリスクの一つだ」と2022年12月8日のブログで述べた（注1）。

Googleが示す解決策とは

　Googleが2022年9月に54億ドルで買収した（注2）セキュリティ企業のMandiant（注3）の調査によれば、ソフトウェアサプライチェーンが2番目に多い初期感染経路だという（注4）。

　Googleは2022年12月8日に発表した調査報告書で、複数の内部および外部との関係に依存するオープンソースコンポーネントが、今日のソフトウェアアプリケーションの大部分を占めるため、ソフトウェアサプライチェーンのエコシステムは脆弱（ぜいじゃく）だと指摘した（注5）。

　オープンソースソフトウェアのセキュリティを向上するための施策はボランティアとして行われることが多い。そのため、消費する依存関係の品質を評価し、最新の脆弱性情報に基づいて迅速に対処しなければならない企業には大きな負担がかかると同社は述べる。

　Googleによると、「SolarWinds」（注6）と「Apache Log4j」は最近の最も重要なソフトウェアサプライチェーンの事件であり、エコシステム全体でこれらの課題に取り組むことが急務であることを強調している。

　同社は「Supply chain Levels for Software Artifacts」（SLSA）の機能を拡張し、企業がNIST（米国立標準技術研究所）の安全なソフトウェア開発ガイドラインに適合するためのフレームワークの開発を強化している（注7）。

　Googleはオープンソースコミュニティーからより多くのフィードバックを得るためにSLSAをオープンソース化したが、「世界各国政府に対し、イノベーションを阻害するような施策の断片化や採用を避けるため、可能な限りこれらの問題に対する協調を追求するよう要請する」と述べ、こうした取り組みが世界的に散在する危険性があると警告した。

　Googleは、政府および企業がソフトウェアのサプライチェーンリスクに対処するための3つの中核的な柱を示した。

• セキュリティのベストプラクティスの採用と標準化
• 強靭（きょうじん）なソフトウェアエコシステムの構築
• セキュリティに対する投資の継続

　また、同社は政府や産業界、学界、オープンソースコミュニティーにおいて、これらの目標を実現するための複数の取り組みが進行中であることも指摘した。さらに、ソフトウェアサプライチェーンのレジリエンスの向上を目的とした政策提言のチェックリストも提供している。「サプライチェーンのセキュリティに対する当社のアプローチは、基本的な原則に根ざしている。協調してより良い防御を」とハンセン氏は述べた。

出典：Google stresses unmet need for software supply chain security（Cybersecurity Dive）

注1：New insights for defending the software supply chain

注2：Google closes $5.4B Mandiant acquisition

注3：Mandiant propels Google Cloud’s security prospects

注4：M-TRENDS 2022 MANDIANT SPECIAL REPORT

注5：Perspectives on Security：Securing Software Supply Chains

注6：One year later: Has SolarWinds changed how industry builds software？

注7：NIST targets software supply chain with guidance on security standards