close search bar

Sorry, not available in this language yet

close language selection

SBOMでソフトウェア・サプライチェーンに対する信頼を築く

Masato Matsuoka

Aug 30, 2022 / 1 min read

アプリケーションに追加するコンポーネントが今日安全であるからといって、そのアプリケーションが明日も安全であるとは限りません。これは主に、ソフトウェア・サプライチェーンの複雑さが原因です。最近のアプリケーションは、独自開発のコードとオープンソース・コード、APIとユーザーインターフェイス、アプリケーションの動作、ソフトウェアアプリケーションの構築に導入されるデプロイワークフローが複雑に混在しています。ソフトウェアを開発している企業は、このチェーンのあらゆる時点で、セキュリティの問題が発生すると組織と顧客がリスクにさらされる可能性があります。ソフトウェア・サプライチェーンのセキュリティを確保し、その安全性を証明するにはどうすればよいでしょうか?

コードベースとサプライチェーンのセキュリティリスク

サプライチェーンのどこかにある欠陥は、脆弱性や侵害の発生源から、時にはエンドユーザーにまで波及し、壊滅的な影響を与える可能性があります。ソフトウェア・サプライチェーンは、その複雑さと接続性のために、アタックサーフェスが拡大し続けています。たとえば、脅威アクターは、侵害済みのソフトウェアとネットワークを介した頻繁な通信を利用して、ネットワークや組織への特権アクセスを取得できます。これにより、悪意のある人物が境界セキュリティをバイパスして有効なユーザーまたはアカウントとして認識され、アクセス許可を取得して内部に侵入し、大混乱を引き起こす可能性があります。

オープンソース・コードと独自開発のコードの両方を含む、アプリケーション内のソフトウェアの構成を知っていますか? そのソフトウェアが使用するコンポーネントとバージョンを知っていますか? オープンソース・ソフトウェアは、モダンアプリケーションの開発において重要なコンポーネントであり、至るところに存在します。Synopsysの「オープンソース・セキュリティ&リスク分析」(OSSRA)レポートでは、分析した商用コードベースのほぼすべて(98%)にオープンソース・ソフトウェアが含まれていることが明らかになりました。その割合は、エネルギーとクリーンテクノロジー、サイバーセキュリティ、IoT、コンピューターハードウェアと半導体の業界では100%です。また、このレポートは、コードベースの81%に1つ以上の既知のオープンソースの脆弱性が存在することを示しています。

オープンソース・ソフトウェアが普及した結果、サプライチェーンはより複雑で分かりにくくなり、関連するリンクや依存関係もかつてないほど多くなっています。リスクを軽減する唯一の方法は、使用中のオープンソース・ソフトウェアの可視性を維持し、特定されたリスク領域に対処することです。

さらに、独自開発のコードは、セキュリティの経験やトレーニングが不足している開発者によって作成されている傾向があります。オープンソース・ソフトウェアと同様に、独自開発のコードのリスクは複雑であり、経験豊富なセキュリティ専門家であっても特定が難しい場合がありますが、独自開発のコード内の脆弱性は、機密データやシステムへのエントリーポイントとなる可能性があります。そのため、アプリケーション内のサードパーティー製コードとともに独自開発のソフトウェアを保護することが重要です。

ソフトウェア・サプライチェーンへの攻撃

ハッカーにとって、サプライチェーンは投資対効果が高いため、ますます標的になる傾向があります。ハッカーは望むものを手に入れているため、サプライチェーンへの攻撃は主流になりつつあります。ガートナー社は、2025年までに、世界中の組織の45%がソフトウェア・サプライチェーンに対する攻撃を経験すると予測しています。また、依存関係と接続性により、アプリケーションの欠陥と脆弱性は最初の攻撃ベクトルから離れている組織にもリスクをもたらします。いくつかの例を以下に示します。

  • SolarWinds。2019年、ハッカーは、世界中の30,000を超える組織で使用されているIT監視システムであるSolarWinds Orionプラットフォームに悪意のあるコードを挿入しました。このコードにより、ハッカーは、何千ものシステムへのバックドアを作成してシステムに接続し、発見されずにアカウントやユーザーにアクセスできるようになり、多くの組織や米国政府機関が被害に遭いました。
  • Heartbleed。2014年、広く使用されているOpenSSL暗号化ソフトウェアのバグにより、コンピューターがだまされてサーバーのRAMの内容が送信され、ハッカーはパスワードや個人を特定できる情報を含むデータにアクセスできるようになり、Google、Dropbox、Reddit、Facebook、カナダ歳入庁、多くのゲームサービスや多数の小規模事業体など、OpenSSLを使用しているすべての企業が危険にさらされました。
  • Equifax。2017年、ハッカーは、まだパッチが適用されていないApache Strutsフレームワークの既知の脆弱性を利用して、顧客苦情ポータルを通じてEquifaxに侵入しました。
  • Log4J。2021年12月、人気の高いオープンソース・コンポーネントであるApache Log4Jで、Javaベースのエンタープライズアプリケーション、組み込みシステム、およびそれらのサブコンポーネントに影響を与える可能性のある重大な脆弱性が見つかりました。このユーティリティは、7,000を超える他のオープンソース・プロジェクトにも依存関係があります。この脆弱性により、攻撃者は脆弱なサーバー上で任意のコードを実行できるようになり、NVD CVSS深刻度評価で最高スコア(10点満点中10点)がつくほど危険になりました。これは具体的な攻撃ではありませんが、世界中の組織が直面しているソフトウェア・サプライチェーンのリスクを明確に表す例です。

ソフトウェア部品表で信頼を築く

ソフトウェア・サプライチェーンのセキュリティを確保し、顧客やサプライヤーとの信頼を構築するには、ソフトウェア部品表(SBOM)を使用してソフトウェア・サプライチェーンを保護するための予防的な対策を取ることが重要です。SBOMは、多くの場合、ソフトウェア・コンポジション解析ツールによって生成され、ソフトウェアを構成するために使用されるコンポーネントの包括的な目録であり、すべてのオープンソースと独自開発のコード、関連するライセンス、使用中のバージョン、パッチ適用状況の一覧です。より詳細なSBOMには、コンポーネントと依存関係のダウンロード場所、および依存関係がリンクするサブ依存関係も含まれます。SBOMに含まれる項目数と詳細情報は、組織やそのクライアントとパートナー、関連する規制機関、必要な情報によって異なります。このデータは、企業やコミュニティ全体で共有し、他の組織が独自の包括的なソフトウェア部品表を作成できるようにすることを目的としています。

ユーザーがNIST標準に準拠し、ソフトウェア・サプライチェーンにセキュリティを組み込むためにSynopsysのBlack Duck® SBOMエクスポート機能がどのように役立つかについては、ブログ記事をご一読ください。

サプライチェーンの強化

セキュリティの強度は、最弱リンクによって決まります。最近のモダンアプリケーションを構築するソフトウェア・サプライチェーンは複雑であり、チェーンの途中でセキュリティの問題が発生すると、組織や顧客が攻撃のリスクにさらされる可能性があります。消費者の信頼を獲得し、業界標準と規制に準拠するには、セキュリティの脅威に対してサプライチェーンを強化し、その対策を実行したことを証明する必要があります。

組織がサプライチェーンの最も弱いリンクにならないために、ソフトウェア・サプライチェーンの概要、関連するリスク、サプライ・チェーンセキュリティへの包括的なアプローチを構築する方法の詳細は、こちらをご覧ください。

Continue Reading

トピックを探索する