欧米との比較に見る、日本のソフトウェアサプライチェーンセキュリティの現在地：IoTセキュリティ（2/2 ページ）

[朴尚洙，MONOist]

多くの企業が製造業向けセキュアソフトウェア開発モデルを参照

　なお、今回の調査では、SBOMが求められる規制の対象である医療機器や自動車を含む製造業の割合は4〜6％と低かった。実際に、どのようなソフトウェアを開発しているのかという質問に対する回答でも、それぞれ30％前後となった商用ソフトウェアやWebアプリケーション、エンタープライズアプリケーションに対して、製造業との関わりが深い「組み込み／ファームウェア」は7〜10％で最も少なかった。

調査対象の業種［クリックで拡大］ 出所：日本シノプシス

開発するソフトウェアの種類と全世界の総従業員数［クリックで拡大］ 出所：日本シノプシス

　製造業の割合が低いにもかかわらず、どのようなセキュアソフトウェア開発モデルを参照しているのかという質問については、産業制御システム向けのIEC 62443や、医療機器に関わるFDAやIMRDFのサイバーセキュリティ要件、車載システム向けのISO 21434やUNR 155/156を挙げる回答が多かった。松岡氏は「ITシステムやWebアプリケーション向けでセキュアソフトウェア開発モデルが策定されていないこともあり、既に整備されている機器開発の標準を参照しているのだろう。また、将来的にこれらの機器とつながる可能性があることを見越している可能性もある」と説明する。

参照するセキュアソフトウェア開発モデル［クリックで拡大］ 出所：日本シノプシス

　生成AI（人工知能）への注目が集まる中で、コーディングへの活用も急速に進んでいる。今回の調査では、50％以上が生成AIツールを用いてコーディングを行っていると回答した。ただし、AIで生成したコードを評価するプロセスがないことも課題になっている。生成したコードの評価において、IPまたはライセンス上のリスク評価を行っている割合が日本は極端に低かった。「日本はそういったリスク評価に役立つOpenChainをけん引する企業が多いはずだが、こういう結果になったのは不思議だ」（松岡氏）という。

AIツール生成コードの評価で、IPやライセンスリスクの評価がやや不足［クリックで拡大］ 出所：日本シノプシス

　SBOMの生成に用いているフォーマットの質問では、日本はSPDX、CycloneDXとも北米、EMEAより低い割合となった。松岡氏は「OpenChainで採用しているSPDX LiteをSPDXとはみなさずに回答しているためではないか」と見ている。また、SBOMを提供しないサプライヤーへの対応でも、日本は提供されたソフトウェアの使用を直ちに中止するが45％と最も多い結果になった。ソフトウェアそのものの有用性よりもリスク回避を優先する特性が強いことが分かる。

SBOMを生成するフォーマットと、SBOMを提供しないサプライヤーへの対応［クリックで拡大］ 出所：日本シノプシス

　松岡氏は、今回の調査結果からソフトウェアサプライチェーンについて、「アプリケーションの全ての構成要素（特にサードパーティー製）を可視化する」「ソースコード、ファイル、コンテナ、アーティファクト内のオープンソースの依存関係を検出、追跡、管理する」「ソフトウェアサプライチェーンのセキュリティを確保するには、継続的な監視による新しい脆弱性のリスクステータスとそのリスクの重大度の検出が重要であることを理解する」「AIが生成するコードには大きな利点がある一方で、評価とアセスメントを要するセキュリティ上のリスクがあることを理解する」「SBOMを管理することはベストプラクティスであり、ソフトウェアサプライチェーンのセキュリティプログラムを成功させる鍵である」という5つの推奨事項が導き出せるとしている。

⇒その他の「IoTセキュリティ」の記事はこちら