サプライチェーン＝製造業の話という認識をあらためよう IT業界注目のキーワードの意味を考える：半径300メートルのIT

近年、IT業界では“サプライチェーン”や“サプライチェーン攻撃”、“サプライチェーンリスク”という言葉が注目を集めていますが、その意味を正確に答えられるでしょうか。製造業以外でも広く使われるようになった今、セキュリティの視点から検証します。

[宮田健，ITmedia]

　Googleは2021年11月26日、開発者ブログで「オープンソースプロジェクトをサプライチェーン攻撃から守る」と題する記事を公開しました。

　近年、オープンソースソフトウェア（OSS）を利用する企業も増えてきましたが、取り扱いには注意が必要です。複数のOSSを組み合わせて使用すると、信頼できないOSSが入り込んだりOSSのプログラムが不正なものに差し替えられたりするリスクがあります。オープンソースとはいえ、逐一中身をチェックするのも困難でしょう。

　同ドキュメントは“サプライチェーン攻撃”対策として、デベロッパーアカウントを保護して乗っ取りを防止するにはどうすればいいかを詳細に説明しています。ぜひチェックして自社のOSS利用の促進につなげてください。

併せて読みたい関連記事

• サプライチェーンの観点で考える　中小企業がセキュリティ対策を怠ってはいけない2つの理由
• IPAが「情報セキュリティ10大脅威」を発表　急上昇したトレンドを押さえよう
• GitHubは悪者か？　SMBCのソースコード流出から学ぶ、情報漏えいのリスク

“サプライチェーン攻撃”って何を指しているの？

　ところで筆者は先ほど、“サプライチェーン攻撃”という言葉を使いました。最近のサイバーセキュリティ業界では、“サプライチェーン攻撃”の他、“サプライチェーン”や“サプライチェーンリスク”といった言葉が注目を集めており、各種セキュリティベンダーのソリューション解説でもしばしばこれを耳にします。