ソフトウェアサプライチェーンセキュリティの重要性と実践的な対策

近年のシステム開発では複数のライブラリを組み合わせて利用することや委託関係の階層化が広まり、ソフトウェアも組織階層も複雑になっています。全体像が見えにくくなることで、外部から攻撃される隙が生まれ、ソフトウェアサプライチェーンに対する攻撃となります。

情報処理推進機構（IPA）が2024年1月に発表した「情報セキュリティ10大脅威 2024」では、"サプライチェーンの弱点を悪用した攻撃"は「組織」において2位となっており、6年連続でランクインしています。

そんななか、実践的なセキュリティ対策としてShift LeftやSBOM（ソフトウェア部品表：Software Bill Of Materials）が注目されています。

本セミナーでは、ラックとNRIセキュアより、ソフトウェアサプライチェーンに関する背景と、いまこそ対応すべきセキュリティ対策をご紹介いたします。

アジェンダ

時間	開催内容
11:00	ログイン開始
11:05～11:10	開会のご挨拶株式会社ラック常務執行役員　CTO・CIO　倉持浩明氏講演者プロフィール受託システム開発のSE・PMとして、金融・製造・流通・小売などの多方面にわたる業種のシステム開発や運用に携わる。 Webアプリケーションのセキュリティに関するガイドラインや執筆活動を行っている。現在はサイバーセキュリティオペレーション＆イノベーション事業領域担当として、JSOC、サイバー救急センター、セキュリティ診断サービスおよセキュリティアカデミーの事業責任者を務める。OWASPをはじめとしたセキュリティ団体での活動にも精力的に取り組む。公職に日本ネットワークセキュリティ協会（JNSA）幹事、著作に『基本がわかる安全設計のWebシステム』（日経BP）など。
11:10～11:30	＜セッション１＞ソフトウェアサプライチェーンを取り巻く状況と開発チームのセキュリティ対策昨今のシステム開発はライブラリ等を活用することで効率的を向上させています。しかし多くのライブラリを活用することで、すべての管理を行うことが難しくなります。システムで利用しているライブラリに脆弱性が明らかになると、自らのシステムにも影響が及びます。本セッションではソフトウェアサプライチェーンを取り巻く状況を踏まえ、開発チームで取り組めるセキュリティ対策についてご紹介します。ＮＲＩセキュアテクノロジーズ株式会社 DXセキュリティコンサルティング事業本部シフトレフトセキュリティ事業部エキスパートセキュリティコンサルタント　関戸亮介講演者プロフィール安心・安全な社会を実現するため、システム設計や開発におけるセキュリティコンサルティングに従事。脅威モデリングや各種アセスメントを通じたセキュアな設計、ソースコードレビューなどを実施。金融・流通・報道業界のお客様をはじめとする様々な開発チームと二人三脚で支援している。
11:30～11:50	＜セッション２＞ SBOMによるソフトウェア管理の効果的な手法とリスク低減策ソフトウェアのセキュリティを高めるには、ソフトウェアのコンポーネントを正確に把握することが必要です。そこでソフトウェアの構成要素やその関係性を記述した文書であるSBOMを用いた管理手法が注目されています。経済産業省は「ソフトウェア管理に向けたSBOMの導入に関する手引」を策定し、SBOMの導入を推奨しています。このウェビナーでは、SBOMの基本的な概念やメリット、導入のポイントやツールの紹介など、SBOMに関する最新情報をお伝えします。株式会社ラック営業統括部　ソリューションコンサルティング部 ITスペシャリスト　小林正臣氏講演者プロフィール Webシステム開発・運用のPG、SEからキャリアをスタート。この経験を活かしてシステムの統廃合や大規模なシステム移転をベンダー側のPMとして携わる。その後はテクニカル中心からプリセールスエンジニアとして企業の生産性向上や業務効率化をサポート。リモートアクセスソリューションを中心にデバイスの活用に焦点を当て、柔軟な働き方の実現に貢献。2020年のコロナ禍においては各企業へのリモートワーク導入を強力に推進。現在は企業のシステム開発においてセキュリティを重視したアプローチを啓発し、シフトレフトによるセキュアな開発手法の普及に尽力している。
11:50～11:55	閉会のご挨拶 NRIセキュアテクノロジーズ株式会社 DXセキュリティ事業統括本部長　観堂剛太郎講演者プロフィールアプリケーションベンダでの開発業務を経て、2000年野村総合研究所入社。以降、セキュアプロダクトの開発を経て、脆弱性診断やインシデント対応等のテクニカルコンサルテーションを担当。2017年に子会社であるユービーセキュアの社長に就任。 2021年よりNRIセキュアに帰任しDXセキュリティ事業本部長に就任。2023年4月より現職。

時間

開催内容

11:00

ログイン開始

11:05～11:10

開会のご挨拶

株式会社ラック
常務執行役員　CTO・CIO　倉持浩明氏

講演者プロフィール

受託システム開発のSE・PMとして、金融・製造・流通・小売などの多方面にわたる業種のシステム開発や運用に携わる。 Webアプリケーションのセキュリティに関するガイドラインや執筆活動を行っている。

現在はサイバーセキュリティオペレーション＆イノベーション事業領域担当として、JSOC、サイバー救急センター、セキュリティ診断サービスおよセキュリティアカデミーの事業責任者を務める。OWASPをはじめとしたセキュリティ団体での活動にも精力的に取り組む。公職に日本ネットワークセキュリティ協会（JNSA）幹事、著作に『基本がわかる安全設計のWebシステム』（日経BP）など。

11:10～11:30

＜セッション１＞
ソフトウェアサプライチェーンを取り巻く状況と開発チームのセキュリティ対策

昨今のシステム開発はライブラリ等を活用することで効率的を向上させています。しかし多くのライブラリを活用することで、すべての管理を行うことが難しくなります。システムで利用しているライブラリに脆弱性が明らかになると、自らのシステムにも影響が及びます。本セッションではソフトウェアサプライチェーンを取り巻く状況を踏まえ、開発チームで取り組めるセキュリティ対策についてご紹介します。

ＮＲＩセキュアテクノロジーズ株式会社
DXセキュリティコンサルティング事業本部シフトレフトセキュリティ事業部
エキスパートセキュリティコンサルタント　関戸亮介

講演者プロフィール

安心・安全な社会を実現するため、システム設計や開発におけるセキュリティコンサルティングに従事。脅威モデリングや各種アセスメントを通じたセキュアな設計、ソースコードレビューなどを実施。

金融・流通・報道業界のお客様をはじめとする様々な開発チームと二人三脚で支援している。

11:30～11:50

＜セッション２＞
SBOMによるソフトウェア管理の効果的な手法とリスク低減策

ソフトウェアのセキュリティを高めるには、ソフトウェアのコンポーネントを正確に把握することが必要です。そこでソフトウェアの構成要素やその関係性を記述した文書であるSBOMを用いた管理手法が注目されています。経済産業省は「ソフトウェア管理に向けたSBOMの導入に関する手引」を策定し、SBOMの導入を推奨しています。

このウェビナーでは、SBOMの基本的な概念やメリット、導入のポイントやツールの紹介など、SBOMに関する最新情報をお伝えします。

株式会社ラック
営業統括部　ソリューションコンサルティング部
ITスペシャリスト　小林正臣氏

講演者プロフィール

Webシステム開発・運用のPG、SEからキャリアをスタート。この経験を活かしてシステムの統廃合や大規模なシステム移転をベンダー側のPMとして携わる。その後はテクニカル中心からプリセールスエンジニアとして企業の生産性向上や業務効率化をサポート。リモートアクセスソリューションを中心にデバイスの活用に焦点を当て、柔軟な働き方の実現に貢献。2020年のコロナ禍においては各企業へのリモートワーク導入を強力に推進。

現在は企業のシステム開発においてセキュリティを重視したアプローチを啓発し、シフトレフトによるセキュアな開発手法の普及に尽力している。

11:50～11:55

閉会のご挨拶

NRIセキュアテクノロジーズ株式会社
DXセキュリティ事業統括本部長　観堂剛太郎

講演者プロフィール

アプリケーションベンダでの開発業務を経て、2000年野村総合研究所入社。以降、セキュアプロダクトの開発を経て、脆弱性診断やインシデント対応等のテクニカルコンサルテーションを担当。2017年に子会社であるユービーセキュアの社長に就任。

2021年よりNRIセキュアに帰任しDXセキュリティ事業本部長に就任。2023年4月より現職。