オープンソース時代におけるサプライチェーンセキュリティの重要性と最新動向

先日、Checkmarx社が都内で行った説明会において、オープンソース時代のサプライチェーンセキュリティに関する重要な議論が交わされました。フィールドCTOのザキ・ゾレンシュタイン氏と日本支社長の中道良成氏が中心となり、オープンソースコードを利用する際のセキュリティリスクやそれに対する対策について説明しました。

オープンソース利用の現状と脅威

現在、多くの開発環境でアプリケーションコードの約90%がオープンソースコードに依存しています。そのため、サイバー攻撃のリスクも高まっており、特に人気のパッケージが第三者によって改変される事例が増えています。このような状況において、ゾレンシュタイン氏は「最近の例では、SNSアプリで利用されている人気パッケージが不正コードに置き換えられた」と具体的なケースを挙げて警鐘を鳴らしました。

特に注目されたのが、1ヶ月に1500以上のマリシャスパッケージを公開したRED-LILIという攻撃者による事例です。この攻撃者は、NPMアカウントを自動的に作成し、各パッケージごとに専用アカウントを設ける手法を用いており、攻撃者の巧妙さが窺えます。彼らは日々新たな手法を開発しているため、OSS開発者の負担も増加しており、業界全体での連携や対策が求められています。

サイバー攻撃の進化と企業の課題

中道良成氏は、企業がOSSを使用する際のセキュリティコントロールが非常に困難であることを指摘しました。特に、最近では米国の大統領令にもサプライチェーンセキュリティが含まれており、SBOM（ソフトウェア部品表）への関心が高まっていますが、これにとどまらず、異常な行動の検知や継続的な攻撃ハンティングなど、幅広い対策が必要です。

「Checkmarx Oneのようなシフトレフトを実現する製品は、オープンソースの脅威に対抗するための重要なソリューションとなる」と語る中道氏。このような技術を導入することで、より包括的に、持続的な支援が得られることを説明しました。

Checkmarx社の取り組み

Checkmarx社は、アプリケーションセキュリティテスト（AST）の分野でリーダーとして知られています。彼らの提供するASTプラットフォーム「Checkmarx One」は、開発者とセキュリティチームに高い精度と可視性を提供し、独自のコード、オープンソース、APIなど、あらゆるソフトウェア要素のリスクを軽減します。また、Fortune50企業の半分近くを顧客に持ち、世界中で1,800社以上の企業がその技術を信頼している実績があります。