AI時代におけるソフトウェアサプライチェーンの安全確保

ソフトウェアのリスクの大部分は、自分が書いていないコードから来ています。サードパーティのライブラリ、オープンソースの依存関係、AI生成のコード:入力は増え続け、それらが生み出す攻撃面も増加し続けています。サプライチェーン攻撃はますます高度化しており、多くのチームが頼るツールは遅れをとっています。このソフトウェアサプライチェーンセキュリティレポートは、Omdiaの新しい独立研究と北米の 400 IT、サイバーセキュリティ、アプリケーション専門家を対象とした調査に基づいており、組織がどこに対応しているか、そして最大のギャップがどこに残っているかを示しています。

研究結果

• 過去12か月間に77%の組織がソフトウェアサプライチェーンのインシデントを経験しました
• 40%がAI技術をソフトウェアサプライチェーンの#1 リスクと位置づけ、サードパーティのコード(39%)やソフトウェア依存(38%)を上回っています
• 57%は、3か月 12 以内に自分たちのコードの半分以上がサードパーティソースから提供されると予想しています
• 12セキュリティツールのカテゴリーのうち、大多数の組織から「非常に効果的」と評価されたのは1のみです

中身は何だ

この 24ページのソフトウェアサプライチェーンセキュリティレポートは、サードパーティコードリスク、AI生成コードガバナンス、ツールの有効性を乗り越えるテックリーダーにデータに基づく指針を提供します。主なセクションには以下が含まれます:

• リスクの状況:AI、サードパーティコードの成長、そして進化する攻撃ベクトルがサプライチェーンのセキュリティをどのように再構築しているか
• インシデントの現実:組織が経験している攻撃の種類とビジネスへの影響
• ツール効果のベンチマーク:どのセキュリティツールカテゴリーが信頼を得られ、どのカテゴリが不足しているか
• SBOMの導入と影響:SBOMを発行する組織が、どのように測定可能なセキュリティ成果を報告するか
• 開発者のシフト:なぜ 98%の組織が開発者のセキュリティ支援を優先し、導入を妨げている要因は何か
• 投資の優先事項:組織が新たなセキュリティ予算を指し、期待する成果を指している場所