SOFTCAMPの子会社レッドペンソフトは、ソフトウェア開発から運用までサプライチェーンセキュリティの全ライフサイクルを単一のワークフローで統合管理する新ソリューション「XSCANシキュアアセット(XSCAN Secure Asset)」を発売したと1日に明らかにした。
外部から持ち込まれたソフトウェアは内部システムにインストールされ、運用サーバーに配布され、実際の実行環境で継続的に変更されるため、全工程にわたる統合的なセキュリティ管理が求められるというのがSOFTCAMPの説明である。これにより、最近は企業のソフトウェアサプライチェーンセキュリティへの関心が、単純なオープンソースの脆弱性点検を越えて、ソフトウェアが開発され、外部から持ち込まれ、運用サーバーで実行される全工程の信頼性を確保する方向へと進んでいる。
これに伴い、企業は開発時点の構成要素と運用中のサーバーの実際の構成要素が一致するか、既知の脆弱性が実運用環境で影響を及ぼすか、どのサーバー資産がリスクに曝されているかなどを判断する必要がある。その結果、ソフトウェア構成要素を識別するSBOM(ソフトウェア部品表)、脆弱性の実際の影響有無を判断するVEX(脆弱性エクスプロイト可能性情報)などの重要性が高まっている。
レッドペンソフトはこの潮流に合わせてXSCAN製品群の構成を多角化した。開発・持ち込みソフトウェアのサプライチェーン検証を担う「XSCANサプライチェーン」、運用サーバー資産と実行環境のセキュリティ可視性を確保する「XSCANサーバーランタイム」、開発・持ち込み・運用環境を単一のワークフローで統合するオープンソース資産管理プラットフォーム「XSCANシキュアアセット」である。
ペ・ファングクレッドペンソフト代表は「ソフトウェアサプライチェーンセキュリティは、もはや特定の開発段階に限られた問題ではなく、企業が使用するすべてのソフトウェア資産の信頼性と運用安定性を確保する中核課題へと拡大している」と述べた。