国内企業では、DX推進を契機として、システム内製化の動きが強まっている。組織内で内製化を進める際は、セキュリティリスクのひとつとして、必ず「ソフトウェアサプライチェーンリスク」に留意すべきである。本稿では、これまでに確認された攻撃事例と併せて、当該リスクへの対策と活用すべきツールについて示す。
ITRでは、年商50億円以上の民間企業、大学などの教育機関、大規模な医療機関、中央官庁を対象に実施した『経営戦略におけるIT活用動向調査2024』(2024年6月調査)の中で、企業の内製化の動向を確認した。その結果、国内企業では、外部のITベンダーの支援を前提としたハイブリッド型の内製化を含め、内製化志向が強まっている実態が明らかとなった(ITR Review『ITR User View:大企業のシステム内製化動向』R-22502U)。
システムの内製化を進める際に組織が留意すべきセキュリティリスクのひとつに、「ソフトウェアサプライチェーンリスク」がある。これは、オープンソースのライブラリなどに内在する脆弱性や不正コードを、ソフトウェア開発時に意図せず取り込むことで、システムの開発/提供過程において脆弱性が混入し、最終的に利用者に影響を及ぼすリスクを指す。ITRは、『ITR注目トレンド2025』(D-202411K011)において、2025年までに大企業の30%がソフトウェアサプライチェーンのリスク管理に着手すると予測している。また、IPA(独立行政法人 情報処理推進機構)も、「情報セキュリティ10大脅威 2025(組織)」において「サプライチェーンや委託先を狙った攻撃」を主要な脅威にあげ、警鐘を鳴らしている。