SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

Developers Summit 2022 レポート(PR)

10年後もソフトウェアの安全性に自信が持てるように――今から始めるDevSecOpsとSBOM入門【デブサミ2022】

【18-B-3】SBOMでソフトウェアを守れ!10年後も自信を持ってリリースするために今始めるDevSecOps

  • このエントリーをはてなブックマークに追加

 デブサミのテーマは「10年後も世界で通じるエンジニアであるために」。10年前は学生で、まだエンジニアの世界を知らなかった横田紋奈(よこな)氏。今ではJFrog Japanでデベロッパーアドボケイトとして活躍している。10年間はあっという間のようで、大きな変化をもたらすこともできる。10年後も開発したものをいかに安全に保つか、いかに安全なものをお客さまに届けられるか。DevSecOpsとSBOMをキーワードに解説する。

  • このエントリーをはてなブックマークに追加

JFrog Japan 株式会社 デベロッパーアドボケイト / Java女子部 JJUG 横田紋奈氏
JFrog Japan 株式会社 デベロッパーアドボケイト / Java女子部 JJUG 横田紋奈氏

ソフトウェアのセキュリティ対策は何をすべきか

 今回のテーマはDevSecOpsとSBOM。前者のDevSecOpsは今回のデブサミでも多く取りあげられるほど馴染みが出てきた。DevとOps、開発と運用が協力するDevOpsにセキュリティ(Sec)も組み込んでいこうという考えだ。

 協力や協業と言うのは簡単だが、実際はそう簡単ではない。横田氏は「全員が全部できるようになる必要はありません。まずは丸投げしないこと。理解し合うこと。そうして少しずつ、お互いに手を広げていくのが理想」と話す。

 そしてセキュリティと言っても幅広い。アセット、データ、アプリケーション、ネットワークなどから人間まで、7層に分けて考えられることもある。その中でDevSecOpsのセキュリティに該当するのはソフトウェアに関連するもの。

 このソフトウェアのセキュリティを考えると、これまたランサムウェア、フィッシング、SQLインジェクション、ゼロデイ攻撃などキーワードが出てくる。またサイバー攻撃と言うと暗闇でパーカーを着た怪しい人物がノートパソコンを操作しながら特定の組織を攻撃しているイメージ図がよく使われる。

 「実は、こんなに単純ではない」と横田氏は指摘する。最近よく言われるサプライチェーン攻撃だと、ソフトウェアに不正なプログラムやバックドアを仕込んだり、あるいは大企業とつながりのある企業から攻撃して大企業にダメージを与えるようにしたり。ソフトウェアが連鎖しているという性質を悪用して攻撃する。また、攻撃対象は企業のサーバーだけではなく、クルマや家電まで広がっている。

サプライチェーン攻撃
サプライチェーン攻撃

 サプライチェーン攻撃と言うと、2020年12月に起きたSolarWindsが挙げられる。ソフトウェア更新が悪用されたため、アメリカ政府も含めて大規模に拡散された。最近2021年12月にLog4Jで発見された脆弱性も記憶に新しい。「対応に追われた方もいるのではないでしょうか。こうした事例からも分かるように、今やセキュリティ対策は手の届く範囲だけでは足りません」と横田氏は警笛を鳴らす。

 「手の届く範囲」とは、主に自分が書いたコードを指す。今やソフトウェアは自社で書いたコードだけでは成り立たず、OSSなど外部から入手したライブラリなども含まれる。そのためこうした外部のコードにも対策を講じる必要がある。一般的にプロプライエタリなソフトウェアの6〜8割はOSSとも言われている。

 では実際に脆弱性が発見されるなど、問題が生じた時に自社ソフトウェアが大丈夫かすぐ分かる状態にあるだろうか。どのソフトウェアがどのコンポーネントを使っているか把握できるだろうか。さすがに全てを記憶できないので、すぐ調べられるようになっているだろうか。

 「ソフトウェアのコンポーネントなら、ライブラリのパッケージマネージャーで使うライブラリ名とバージョンを見ればいいのでは?」と思うかもしれないが、「それだけでは足りない」と横田氏は言う。ソフトウェアは連鎖的に依存しているので、依存先の依存先、推移的依存関係も安全性を確認する必要がある。

次のページ
これからソフトウェアの脆弱性の確認に欠かせないSBOMとは

関連リンク

この記事は参考になりましたか?

  • このエントリーをはてなブックマークに追加
Developers Summit 2022 レポート連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Onlineの取材・記事や、EnterpriseZine/Security Onlineキュレーターも担当しています。 Webサイト:http://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

  • このエントリーをはてなブックマークに追加
CodeZine(コードジン)
https://codezine.jp/article/detail/15699 2022/04/14 12:00

おすすめ

アクセスランキング

アクセスランキング

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング