サイバーセキュリティの世界でこの一年に何が起こるかを教えてくれる水晶玉を覗き込む時期がまだ続いています。そして、何が起こるのか教えてくれることを願ってはいるものの、水晶玉ははっきりとした予言をもたらしてくれるわけではありません。
「予測をするのは難しい。未来についてはなおさらだ」
これは偉大な故Yogi Berraの言葉です。
実際、気象の専門家は、1週間後の天気を正確に予測することに苦労しています。ましてや始まったばかりの年が今後どうなるかを予測することは至難の業です。
それでも、成功する人々や組織の多くは事前に計画を立てて行動しています。そのためには、先見の明と、実現しないかもしれない良い推測をする勇気が必要です。(幸い、シノプシス ソフトウェア・インテグリティ・グループには、その両方を備えた専門家集団がいます。)
以下の予測は、もちろん確実ではありませんが、可能性は高いと思われます。つまり、より良い2023年に向けた計画を立てるのに役立つということです。
人工的だが非常に魅力的
Sammy Migues、主任科学者
ディープフェイクやChatGPTをもたらしたテクノロジから、いくつかの新しく興味深い副次的影響が見られると考えています。ビデオ通話を使った技術インタビューは、見た目も声もあなたにそっくりの本物のエキスパートに代役を務めてもらえば、すぐに終わるはずです。
そのようなエキスパートが近くにいない場合は、ChatGPTに質問を送信して、回答を読むのはどうでしょうか? 新しいセキュリティ製品の設定方法を学ぶ時間がない場合は、技術サポートのことは忘れて、ChatGPTに段階的なチェックリストを依頼してください!新しい暗号モジュールを書く時間がない場合は、AIにやってもらいましょう!膨大な予算の要求の裏付けとなるログデータがない場合は、AIに数分で作ってもらいましょう!可能性は無限大です。確かに、AIは組み立てたものを吐き出すだけの心を持たないロボットにすぎませんが、一見したところではかなり説得力があります。
サプライチェーンに対する意識の高まり
Michael White、技術担当部長兼主任アーキテクト
ソフトウェアに何が含まれていて、それがどこから来たのかについて、組織が関心を持つようになると、タマネギの皮を剥くように、適切な管理を必要とするあらゆるケースを把握しようとするでしょう。
これは、ソフトウェア部品表(SBOM)だけでなく、誰が何に触れたのか、どのツールが使われたのか、どのようなテストが行われたのかなど、一連の管理全体についてより高い透明性が求められることを意味します。組織は、社内のサプライチェーンとソフトウェア・デリバリー・インフラストラクチャを強化するだけでなく、プロバイダーやベンダーに透明性の要件を適用することを検討します。
特有の不安感
Jonathan Knudsen、シノプシス Cybersecurity Research Centerのグローバル・リサーチ責任者
人々は依然としてソフトウェアリスクを真剣に捉えないまま、適切に対処することなく、あまりにも速くモノを作り続けているため、家が実際に火事になるまでセキュリティについて考えようとしません。
Southwest Airlinesは警鐘となるでしょう。すべての企業がソフトウェア企業であることは明白であり、それらが崩壊すればどれほどの損害がもたらされるでしょうか? しかし、私たちは50年以上も警鐘をならされていたのに、ずっと先延ばしにしているのです。
Sammy Migues
ここしばらくは毎年そうでしたが、今年も以下のようなことが言えそうです。世界の多くがソフトウェアになりつつあり、そのソフトウェアの多くは、その利害関係者や制作者が機能的な経験がほとんどなく、セキュリティの経験もさらに少ない新しいテクノロジです。そして、そのソフトウェアは相互に接続され、一部の人々の生活に影響を与え、そのすべてが攻撃に対して脆弱です。
たとえば、インターネット接続されているすべてのトースターで使われているAIエンジンがDDoS攻撃を受けているため、今日は誰もトーストを焼くことができない、といった日常生活に支障が出る可能性を受け入れ始めるでしょう。
オープンソースがソフトウェアの世界を席巻する
Gunnar Braun、アプリケーション・セキュリティ・テクニカル・アカウントマネージャー
オープンソースソフトウェア(OSS)の価値は、無料であることだけではありません。直面するあらゆる問題に対して、膨大な量のソフトウェア・コンポーネントが利用可能であることです。企業は、自社のビジネスを実現するイネーブラーとして、OSSに依存していることを実感しています。
多くのOSSプロジェクトは、独自に大量のOSSを作り出す大企業だけでなく、今や中小企業もバックアップ(資金提供)しています。これは、OSSの品質やセキュリティへの投資であり、OSSを使い続け、信頼できるようにするためです。今後、中小企業は使用するOSSにより多くの投資を行い、大企業はGoogleのAssured Open Source Softwareサービスのように、混沌の中に秩序をもたらすプログラムを構築していくだろうと予測しています。私たちは、後者がどの程度まで受け入れられるかを見ていく予定です。
1オンスの予防
Sammy Migues
組織、特に取締役会とそのリスク委員会は、発見的コントロールだけでは、マルウェア、ランサムウェア、ソフトウェアの脆弱性、その他の技術的なソースやリスクから組織を十分に保護できないことを認識することになるでしょう。そして、クラウド、ネットワーク、開発、運用などのテクノロジ分野での創造性をある程度抑えることになっても、予防的コントロールに投資し始めるでしょう。
SBOM離れ
Anita D’Amico、クロスポートフォリオ・ソリューションおよび戦略担当副社長
Log4Jのような次の脆弱性に迅速に対応する必要性に迫られた組織は、ソフトウェアサプライヤーからのSBOMに対する契約上の要件を加速させるでしょう。しかし、調達担当者はこれらのSBOMが正確であることをどのように確認するのでしょうか? これにより、こうした契約上の要件を満たすために、SBOMの検証に対する要求を生み出すことになります。
また、ソフトウェア・サプライチェーンに関わる誰もが「SSDF」という言葉を口にするようになるでしょう。2022年にNIST(米国国立標準技術研究所)によって公開されたSSDF(Secure Software Development Framework)は、ソフトウェアセキュリティのベストプラクティスを実証する必要がある組織の道しるべになるでしょう。
Stanislav Sivak、アソシエイト・マネージング・セキュリティコンサルタント
今年は、ソフトウェアサプライヤーが、オープンソースのSBOMと関連するリスク体制をクライアントに提供するよう求める声が高まると思われます。
少なくとも大規模な組織では、ポイントインタイムのアプローチではなく、ソフトウェア構成とその起源(COTS、オープンソース、パートナー)の全体的かつ継続的な概要を把握することが求められるようになるでしょう。
このような組織は、入力を処理し、コンテキストを理解し、適切な形式でSBOMなどの出力を生成し、そのデータに関する情報を提供できる集中型プラットフォームを確立する必要があります。
認証の進化
Boris Cipot、上級セキュリティエンジニア
何年もの間、データセキュリティの分野はなかなか進歩しませんでした。最近まで、私たちが使っていたモデルは、ユーザー名(私が誰であるか)とパスワード(私が知っていること)の使用に基づいていました。それが第3の要素へと拡大され、別のデバイス(私が所有しているもの)を使って身元を確認していました。
Microsoftは先日、パスワードから離れ、認証アプリによる本人確認のみを使用することを発表しました。これは間違いなく、パスワードの誤用や、複数のアカウントでの同じパスワードの使い回しなど、パスワードの悪しき慣習の終焉を意味します。しかし、すべての企業がMicrosoftの認証アプリやGoogleのID確認のような機能を備えているわけではないため、どれだけのオンラインサービスがこれに追随するかはまだわかりません。それでも、テキストメッセージやEメールにコードを付けて送信するサービスは増えるかもしれません。ただし、権限のない人物がこれらのリソースにアクセスできないように注意することが重要です。
Sammy Migues
2023年は、多要素認証が本当にごく普通なことになる年だと思います。たとえ、ユーザーがそれを有効にしなくても、組織はそれを既定として設定し始めるでしょう。盗まれたアカウントを取り戻すことに比べれば、認証に多少のフリクションがあった方が、誰にとっても楽だからです。
保護の階層
Amit Sharma、セキュリティエンジニア
サイバーセキュリティ意識向上トレーニングは、あらゆる形態、あらゆる規模の組織に対するさまざまなサイバー攻撃を防ぐために今後も不可欠なものであり続けるしょう。これは、企業がフィッシング攻撃を防止するための重要な方法です。より多くの組織がクラウドソリューションを採用するにつれて、クラウドセキュリティ戦略は今後数か月、数年と成熟し続けるでしょう。
クラウドで機密データを継続的に保護するには、自動化と構成が最も重要です。また、Kubernetesなどのオーケストレーション技術の使用が引き続き増加し、コンテナやKubernetesのセキュリティソリューションに対する需要が高まるでしょう。2022年のサプライチェーン攻撃の増加に伴い、サプライチェーンのガバナンスとマネジメントを巡る成熟度が組織に必要です。パートナーやベンダーに加え、社内にもセキュリティメカニズムを整備する必要があります。
全員で意識向上トレーニングに参加する
Meera Rao、製品管理担当上級部長
2022年に発生した侵害のほとんどはソーシャルエンジニアリングによる攻撃でした。私たちは、脆弱なユーザーが1人いるだけで、間違った理由でニュースの見出しになることがわかりました。ソーシャルエンジニアリングのトレーニングを受けていないユーザーは、さまざまなフィッシングやスミッシング攻撃の格好の標的になってしまいます。
そのため、定期的な従業員のトレーニングが再び中心的な役割を果たすようになり、2023年も引き続き組織の重要な目標になると思われます。
Continue Reading
2024 OSSRA レポート:オープンソース・コンポーネントの古いコードのリスク
Apr 17, 2024 / 1 min read
![[CyRC脆弱性勧告]CVE-2023-23846 Open5GS GTPライブラリのサービス拒否の脆弱性](https://images.synopsys.com/is/image/synopsys/cyrc-advisory-open5gs-gtp-library?ts=1697087353416&$responsive$)
