サイバー攻撃のトレンドその対策最前線をシリーズで紹介
第五回『ソフトウェア サプライ チェーン セキュリティの被害と対策』
2025年9月アサヒビールに対するロシア系ランサムウェアグループQilin(チーリン)よるランサムウェア攻撃は、アサヒビールの国内全工場の停止という、極めて深刻な事態に陥りました。また、2025年10月には、通販大手のアスクルが、ランサムウェアグループRansomHouseによる攻撃によりECサイトおよび高度に自動化された物流センターが完全に麻痺し、同社のサプライチェーンは大きな影響を受けました。この象徴的な2件をはじめ、昨今のニュースでは「サプライチェーン」という言葉が頻繁に取り上げられています。
本来サプライチェーンとは、製品の原材料・部品の調達から販売に至るまでの一連の流れを指す用語で、日本語では「供給網」又は「供給連鎖」と訳されますが、この概念はライフサイエンス業界でも常に注目されていて、近年はその定義が拡大し、ソフトウェア開発の世界においても「開発の開始から配布までのライフサイクル全体」を包含する言葉として使われるようになりました。テクノロジーが進化し、私たちの生活のあらゆる側面に浸透するにつれ、ソフトウェア・サプライチェーン・セキュリティの重要性はかつてないほど高まっています。ソフトウェアが完成するまでの「原材料」や「製造工程」のすべてを安全に保つ取り組みが不可欠なのです。
現代のソフトウェア開発は、すべてを自社でゼロから作るのではなく、オープンソース*1や第三者ツールなどの「外部パーツ」を組み合わせて行われます。そのため、これら「部品」や「流通経路」を狙った攻撃リスクが増大しています。
ソフトウェア・サプライチェーン・セキュリティとは、設計・開発から配備・保守に至るまで、製品のライフサイクル全体を保護するための戦略、プロセス、および統制を指します。具体的には、開発プロセスの安全確保、サードパーティベンダー*2の信頼性確認、継続的な監視、そして脆弱性管理の実装が含まれます。これらの対策を講じることで、企業はサプライチェーン攻撃のリスクを軽減し、デジタル資産の保護、規制への準拠、そして製品の「完全性・機密性・可用性」を維持することが可能になります。
では、なぜ今ソフトウェア・サプライチェーン・セキュリティが重要なのでしょうか。記憶に新しい事件として、5年前の2020年に発生したSolarWinds社*3の事案が挙げられます。IT管理ソフトウェア「Orion」*4のビルド環境が侵害され、正規のアップデートファイルにマルウェア(バックドア*5)が混入されました。その結果、米政府機関やフォーチュン500企業の多くが被害を受けるという、史上最大級の事件へと発展しました。また、今年2025年9月には、開発者が多用するJavaScript用パッケージの管理アカウントが乗っ取られる事件が発生しました。悪意あるコードがnpmパッケージ*6に混入され、毎週26億回以上ダウンロードされる環境が悪用されるという、甚大な被害が報じられたばかりです。
執筆者について
経歴 ※このプロフィールは掲載記事執筆時点での内容となります
コメント
/
/
/
コメント