ソフトウェアサプライチェーンは、依存関係のリスクや規制強化、さらには 耐量子コンピュータ暗号（PQC）の影響といった、かつてない圧力にさらされています。しかし多くの組織は、自社のセキュリティプログラムはすでに十分、あるいはほぼ十分な水準にあると認識しています。

デジサートの State of Software Supply Chain Security 2026 レポートは、これとは大きく異なる現実を示しています。

組織の約半数が自社のプログラムを「確立済み」または「最適化段階」と評価している一方で、自動化、コード署名、SBOM の導入、監査対応、暗号対応の準備状況にはばらつきが見られます。

その結果は明確です。ソフトウェアサプライチェーンには依然として重大な盲点が存在し、基盤となる統制が一貫していない、手動に依存している、または不完全な状態が残っています。依存関係リスク、規制強化、暗号技術の変化が進む中で、認識だけでは不十分であり、実証が求められます。

「確立済み」が自動化を意味しない場合

調査対象の 84% の組織が、ソフトウェアサプライチェーンセキュリティの包括的なプログラムを確立済み、または構築中と回答しています。そのうち約半数が自社の成熟度を「確立済み」または「最適化段階」と評価しています。

しかし、実際の指標を見ると状況は異なります。完全に自動化されている割合は以下の通りです：

• コード署名の完全自動化：13%
• CI/CD におけるセキュリティチェックの完全自動化：13%
• SBOM を現在提供している組織：11%
• SBOM を常に署名している組織：17%
• コンテナイメージを常に署名している組織：12%

自動化、暗号署名、アーティファクトの完全性が中核であるにもかかわらず、多くの「成熟した」プログラムが部分的または場当たり的な統制に依存しています。

このギャップは重要です。部分的な自動化は適用のばらつきを生み、一部は保護されても他は無防備な状態となります。攻撃者は最も弱い部分を狙います。

完全性のギャップ：SBOM・自動化・量子対応

これらの盲点に共通するのは、完全性の統制が期待に追いついていない点です。また、それを支えるポリシーも十分ではありません。

SBOM 要件は加速していますが、対応状況にはばらつきがあります。多くの組織が将来的な要件を見込む一方、現在 SBOM を提供しているのは一部に限られます。導入は進んでいるものの、精度、ツール統合、CI/CD における自動化が課題となっています。

さらに、SBOM が生成されても署名されていないケースが多く見られます。署名されていない SBOM は単なる主張に過ぎません。署名された SBOM は証拠となります。ソフトウェアの真正性を保証するためには、署名は必須要件とする必要があります。

同様の課題は自動化や署名プロセスにも見られます。コンテナや CI/CD のスピードが向上する一方で、完全性の統制は追いついていません。

真の成熟には、選択的な統制から体系的な統制への移行が必要です：

• 自動化前にコード署名ポリシーを定義・適用する
• すべてのパイプラインでセキュリティチェックと署名を自動化する
• 秘密鍵を HSM または KMS で保護する
• バイナリ、コンテナ、SBOM を標準で署名する

最後に PQC の盲点があります。規制対応の期限が迫る中、多くの組織は準備を開始していません。量子コンピュータに対して安全なアルゴリズムへの移行には、暗号資産の棚卸し、検証、計画策定が必要であり、短期間で対応できるものではありません。

成熟した組織は規制を待ちません。ポリシーを整備し、自動化を進め、暗号アジリティを基盤に組み込みます。現代のソフトウェアサプライチェーンでは、完全性は一貫性と証明可能性、そして将来対応力が求められます。

これらの盲点が示すもの

ソフトウェアサプライチェーンの盲点は、失敗ではなく整合性の問題です。

多くの組織は重要性を理解し、ポリシーやガバナンスには投資しています。しかし、自動化、暗号統制、SBOM の完全性、PQC 対応は実行面で遅れています。

サイバーセキュリティで重要なのは計画ではなく、以下の要素による継続的な実行です：

• 一貫性
• 自動化の適用範囲
• 暗号的統制
• 監査対応力
• 将来対応力

実行を伴わない自信は盲点を生みます。

自動化のない実行は非効率を生みます。そして、特に暗号移行の遅れはリスクを増大させます。

成熟度のギャップを解消する組織は、署名を必須要件とし、自動化を基盤とし、将来対応を優先事項として扱う組織です。

進むべき方向は明確です。ただし、それには認識ではなく、統制、可視性、そして実行力が求められます。