セキュリティ
ソフトウェアサプライチェーンセキュリティに関する脅威と対策の説明として、最も適切なものはどれか。
ア.サプライチェーンセキュリティの問題は製造業のみに関係し、ソフトウェア開発においてサプライチェーンリスクは存在しない。
イ.サプライチェーン攻撃はブルートフォース(総当たり)によるパスワード解析が主な手口であり、多要素認証の導入だけで完全に防御できる。
ウ.サプライチェーン攻撃はOSSライブラリ・ビルドパイプライン・CI/CDツールなど「信頼された経路」を改ざんして悪意あるコードを本体に混入させる手法で、SBOM管理・署名検証・依存関係の固定が対策となる。正解
エ.オープンソースライブラリは公開されているため改ざんリスクが低く、サプライチェーン攻撃のベクターにはならない。
解説
「信頼できるはずの仕入れ先を汚染する」のがサプライチェーン攻撃。自社コードが完璧でも、使っているOSSや自動ビルドツールが汚染されていれば丸ごとやられる。SolarWinds事件(2020)やxz-utils事件(2024)がその典型。
なぜ ウ が正解か
ウが正解。SolarWinds事件ではビルドパイプラインが改ざんされ、正規の更新ファイルにバックドアが混入した。対策としてはSBOMで依存関係の可視化・Sigstoreなどでのアーティファクト署名検証・package-lock.json等で依存バージョン固定・CI/CDツールへのアクセス制御強化がある。
出典: AI生成問題(学習用)