セキュリティ的な問題は1回でも出すと、事業活動に与える影響が甚大になる。そのため常に見直し改善を進める必要がある。日々、思うことは、業界全体的な傾向としてサプライチェーン攻撃にとても脆弱であるように感じる。

サードパーティのパッケージ、コンテナImage、開発ツール、エディタ、Webブラウザ依存する共有ライブラリなど多くのものに依存して生活をして仕事をしている。これらのどこかで悪意が含まれていたら、どれほどその問題を防ぐことができるだろう。

他にもSaaS、PaaS, IaaS、プログラミング言語の処理系など多くのものに依存している。SaaSが何らかの攻撃を受けることもある。例えば万が一パスワード関連のマネージャープログラムやSaaSで問題が発生した場合、僕らはどれだけ被害を最小にできるのだろう。一度付いた火を大火事にすることなく消火できるだろうか。この場合はサプライチェーン攻撃というものではないが。

しかしサードパーティのパッケージやDocker Imageに悪意が含まれていたことは今までにも実際にあっただろう。そこを足掛かりにして、いろんなものを台無しにできるように思える。だからサプライチェーン攻撃に対して論理的に効果のある防壁について考えてみたい。