品質管理とセキュリティの新基準:ブラックボックス化から脱却するソフトウェア透明性~インテリジェントなSCAで実現する構成管理と脆弱性対応~
### ブラックボックス化からの脱却、いま求められるソフトウェア透明性
ソフトウェア開発の現場では、OSSやサードパーティコンポーネントの活用が拡大し、開発効率は飛躍的に高まりました。その一方で、「自社システムの構成やライセンス、脆弱性を把握しきれない」という“ブラックボックス化”が深刻なリスクとなりつつあります。脆弱性対応の遅れによるセキュリティインシデント、ライセンス違反による法的リスクなど、経営や社会的信用を揺るがしかねないケースも増えてきました。
また、「EU Cyber Resilience Act(CRA:欧州サイバーレジリエンス法)」や「米国大統領令14028」など、世界各国でソフトウェアの透明性や安全性を厳しく求める規制が進行しており、我が国のサプライヤーにも大きな影響があります。金融や医療、交通といった基幹インフラにもソフトウェアが組み込まれる今、セキュリティ品質の確保のために「ソフトウェアの透明性」をどうするか。この問題は、企業の競争力や社会的信用を損なうリスクに関わる優先課題となっています。
・OSSライセンス違反による法的リスク
・ソフトウェアの脆弱性への対応にメスを入れる
・EU Cyber Resilience Act(CRA)など規制対応が必要な局面
### SCAとSBOMで実現する“見える化”
こうした時代背景の中でここ数年欧米を中心に導入が進んでいる実践手段は「SCA(Software Composition Analysis:ソフトウェア構成分析) 」とその結果得られる「SBOM(Software Bill of Materials: ソフトウェア部品表)」による手法です。OSSやサードパーティコンポーネントの情報を可視化し、脆弱性やライセンスリスクに的確に対応できることから、次世代のセキュリティ基盤として期待されています。
講演内では、SPDXとOWASP CycloneDXの2つのSBOMフォーマットの特性の違い についても触れます。システムに含まれるOSSやコンポーネントのバージョン、ライセンス、脆弱性情報を素早く可視化し、リスク対応の加速につなげるには重要なトピックです。
### 実践手段の紹介:システムのサプライチェインリスクを可視化する「Checkmarx CxOne」
本セミナーでは 「Checkmarx CxOne」 を活用した統合セキュリティプラットフォームの実践的な導入方法をわかりやすく解説します。
このツールは、皆様の開発コードを解析する「SAST(静的ソースコード解析)」、SCA、SBOM生成も統合されています。また、SCAで分析するリスクは、単にCVEの羅列を超え、喫緊に対応すべきコンポーネントを見つけ出すインテリジェンスが反映されています。
どのようにシステムの透明性を高め、セキュリティ強化と開発効率の両立を実現するのか ――具体的な事例や最新の規制動向を交えながらご紹介します。