CodeZine(コードジン)

特集ページ一覧

10年後もソフトウェアの安全性に自信が持てるように――今から始めるDevSecOpsとSBOM入門【デブサミ2022】

【18-B-3】SBOMでソフトウェアを守れ!10年後も自信を持ってリリースするために今始めるDevSecOps

  • LINEで送る
  • このエントリーをはてなブックマークに追加
2022/04/14 12:00

 デブサミのテーマは「10年後も世界で通じるエンジニアであるために」。10年前は学生で、まだエンジニアの世界を知らなかった横田紋奈(よこな)氏。今ではJFrog Japanでデベロッパーアドボケイトとして活躍している。10年間はあっという間のようで、大きな変化をもたらすこともできる。10年後も開発したものをいかに安全に保つか、いかに安全なものをお客さまに届けられるか。DevSecOpsとSBOMをキーワードに解説する。

目次
JFrog Japan 株式会社 デベロッパーアドボケイト / Java女子部 JJUG 横田紋奈氏
JFrog Japan 株式会社 デベロッパーアドボケイト / Java女子部 JJUG 横田紋奈氏

ソフトウェアのセキュリティ対策は何をすべきか

 今回のテーマはDevSecOpsとSBOM。前者のDevSecOpsは今回のデブサミでも多く取りあげられるほど馴染みが出てきた。DevとOps、開発と運用が協力するDevOpsにセキュリティ(Sec)も組み込んでいこうという考えだ。

 協力や協業と言うのは簡単だが、実際はそう簡単ではない。横田氏は「全員が全部できるようになる必要はありません。まずは丸投げしないこと。理解し合うこと。そうして少しずつ、お互いに手を広げていくのが理想」と話す。

 そしてセキュリティと言っても幅広い。アセット、データ、アプリケーション、ネットワークなどから人間まで、7層に分けて考えられることもある。その中でDevSecOpsのセキュリティに該当するのはソフトウェアに関連するもの。

 このソフトウェアのセキュリティを考えると、これまたランサムウェア、フィッシング、SQLインジェクション、ゼロデイ攻撃などキーワードが出てくる。またサイバー攻撃と言うと暗闇でパーカーを着た怪しい人物がノートパソコンを操作しながら特定の組織を攻撃しているイメージ図がよく使われる。

 「実は、こんなに単純ではない」と横田氏は指摘する。最近よく言われるサプライチェーン攻撃だと、ソフトウェアに不正なプログラムやバックドアを仕込んだり、あるいは大企業とつながりのある企業から攻撃して大企業にダメージを与えるようにしたり。ソフトウェアが連鎖しているという性質を悪用して攻撃する。また、攻撃対象は企業のサーバーだけではなく、クルマや家電まで広がっている。

サプライチェーン攻撃
サプライチェーン攻撃

 サプライチェーン攻撃と言うと、2020年12月に起きたSolarWindsが挙げられる。ソフトウェア更新が悪用されたため、アメリカ政府も含めて大規模に拡散された。最近2021年12月にLog4Jで発見された脆弱性も記憶に新しい。「対応に追われた方もいるのではないでしょうか。こうした事例からも分かるように、今やセキュリティ対策は手の届く範囲だけでは足りません」と横田氏は警笛を鳴らす。

 「手の届く範囲」とは、主に自分が書いたコードを指す。今やソフトウェアは自社で書いたコードだけでは成り立たず、OSSなど外部から入手したライブラリなども含まれる。そのためこうした外部のコードにも対策を講じる必要がある。一般的にプロプライエタリなソフトウェアの6〜8割はOSSとも言われている。

 では実際に脆弱性が発見されるなど、問題が生じた時に自社ソフトウェアが大丈夫かすぐ分かる状態にあるだろうか。どのソフトウェアがどのコンポーネントを使っているか把握できるだろうか。さすがに全てを記憶できないので、すぐ調べられるようになっているだろうか。

 「ソフトウェアのコンポーネントなら、ライブラリのパッケージマネージャーで使うライブラリ名とバージョンを見ればいいのでは?」と思うかもしれないが、「それだけでは足りない」と横田氏は言う。ソフトウェアは連鎖的に依存しているので、依存先の依存先、推移的依存関係も安全性を確認する必要がある。


関連リンク

  • LINEで送る
  • このエントリーをはてなブックマークに追加

バックナンバー

連載:Developers Summit 2022 レポート

もっと読む

著者プロフィール

  • 加山 恵美(カヤマ エミ)

    フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Onlineの取材・記事や、EnterpriseZine/Security Onlineキュレータ...

あなたにオススメ

All contents copyright © 2005-2022 Shoeisha Co., Ltd. All rights reserved. ver.1.5