ソフトウェア・インテグリティ

 

サプライ・チェーンのリスク管理のための効果的なソフトウェア・セキュリティ・アクティビティ

BSIMM12レポートによると、最近のサプライ・チェーンの寸断により、ソフトウェア・セキュリティに対する注目が高まっています。そこで、サプライ・チェーンのリスク管理に関する推奨事項について考えてみましょう。

サプライ・チェーンのリスク管理のためのBSIMM12アクティビティ | シノプシス

世界的なパンデミックによってビジネス活動が混乱する中で、労働力の分散化が進み、従来のセキュリティで保護された企業環境から離れた場所への移行が進んでいます。この激動の時期に、アタックサーフェスが拡大し、脆弱性が生じやすくなった機に乗じて、ハッカーは記録的な数に上るソフトウェア・サプライ・チェーン攻撃やランサムウェア攻撃を仕掛けています。

最近の攻撃(SolarWindsとKaseyaに対するサプライ・チェーン攻撃、Colonial Pipeline、NBA、Kia Motorsに対するランサムウェア攻撃)は、破壊的な影響をもたらしました。欧州連合サイバーセキュリティ機関(ENISA)は、2021年のサプライ・チェーン攻撃は2020年と比較して4倍になると推定しています。ENISAの調査によると、攻撃の66%が標的のコードに焦点を当てていることが明らかになりました。

ソフトウェア・サプライ・チェーンのセキュリティが世界的な問題であることは間違いありません。5月に、バイデン大統領はサイバーセキュリティの改善を義務付ける大統領令に署名しました。この大統領令は広範な影響を及ぼすことが予想され、商業界で採用される可能性があります。大統領令が定めている指令の1つに「ソフトウェア部品表(SBOM)の成熟と脆弱性開示プログラムへの参加」があります。

BSIMM12レポートは、企業の対応状況に重点を置き、昨年BSIMMコミュニティの参加企業が採用したソフトウェア・セキュリティ・アクティビティを示しています。対象アクティビティは以下の3つに分類できます。

  • ソフトウェア・サプライ・チェーンのセキュリティを強化
  • 包括的なソフトウェア・セキュリティ・プログラムの構築
  • DevSecOpsの実装

BSIMM12レポートをダウンロード

このブログ投稿では、ソフトウェア・サプライ・チェーンのセキュリティに焦点を当てた、セキュリティ強化のためのベストプラクティスをご紹介します。

ソフトウェア部品表のアクティビティは増加傾向

BSIMM12によると、ソフトウェア部品表のアクティビティは過去2年間で367%増加しました。データを見ると、ソフトウェア部品表(SBOM)の作成、ソフトウェアの構築/構成/デプロイ方法の理解、セキュリティ・テレメトリに基づく組織の再配置能力の向上など、ソフトウェアのインベントリに焦点を当てた機能が増加していることがわかります。多くの組織が包括的な最新のソフトウェア部品表の必要性を強く認識するようになったことは明らかです。ソフトウェア部品表のアクティビティ以外に、12以上のサプライ・チェーン・セキュリティ・アクティビティが増加しています。

BSIMM12によると、ソフトウェア部品表のアクティビティは過去2年間で367%増加 | シノプシス

サプライ・チェーン・リスク管理の推奨事項

ソフトウェア部品表はソフトウェア・チェーンのセキュリティの中心であり、ただのインベントリではありません。米国国立標準技術研究所(NIST)は、サイバー・サプライ・チェーン・リスク管理(C-SCRM)とセキュア・ソフトウェア開発フレームワーク(SSDF)を策定し、サプライ・チェーン・リスクの管理方法に関する提言を行っています。この中で、ソフトウェアを取得する組織に対し、正式なC-SCRMプログラムを含む包括的なリスク管理プログラムを実装することが推奨されています。その他にも、組織全体でC-SCRMプログラムを統合すること、重要なソフトウェア・コンポーネントおよびサプライヤーを特定・管理すること、計画をライフサイクル全体に組み込むこと、などの推奨事項が提示されています。リスク管理計画の一環として、NISTでは次の手順も推奨しています。

  • 収益力を促進する主なビジネス目標とプロセスを特定する
  • 現在および将来のソフトウェア・ライセンスのインベントリを作成する
  • サプライヤーのソフトウェア・ライセンスのサポート方法を調査し、文書化する
  • ソフトウェアが主要なプロセスをどのようにサポートしているかを理解する
  • 脆弱性が見つかったソフトウェアに対する対策計画を作成する

予防は治療に勝ると言います。そのために、NISTはサプライ・チェーン攻撃を防ぐ最善の方法に関する推奨事項も提示しています。

  • ソフトウェア・ベンダーに、セキュア・ソフトウェア開発サイクル(SDLC)のプラクティスに従っているか、脆弱性を開示しているか、パッチ管理機能を提供しているか、製品の承認済みサプライヤー・リストを管理しているかを確認する
  • 購入したソフトウェアのソフトウェア・コンポーネントのインベントリ情報を要求する

サプライ・チェーン攻撃には、よく知らないさまざまなサードパーティー製の異種ソフトウェアが関与している場合があるため、ソフトウェア内の悪意のあるコードを検出することは容易ではありません。

今すぐ取り組むべきサプライ・チェーンのリスク管理対策

世界に向けてソフトウェア・サプライ・チェーンのセキュリティを強化するための指令が出されていますが、その定義はまだ初期段階にあります。今後数か月から数年で多くの何かについて決定が下されることになるでしょう。唯一確かなことは、変化が起きているということです。私たちはソフトウェア・セキュリティ・コミュニティの一員として、その変化に応じてロードマップとセキュリティ対策を適応させる準備をする必要があります。しかし、サプライ・チェーン攻撃に対抗するために今すぐ実行できる対策もあります。

NISTが概要を示した包括的なC-SCRMプログラムを実装するための4つの必須コンポーネントがあります。

  • サプライ・チェーン・リスク管理のロードマップ。ソフトウェア・サプライ・チェーンの変革の第一歩は、目的とするセキュリティ状態に到達するための計画を策定することです。これにはソフトウェア・サプライ・チェーンに関わる人、プロセス、テクノロジーの評価が含まれます。この評価は、サプライ・チェーンのセキュリティに関する経験と「斬新な視点」を活かして、サプライ・チェーンのリスクを軽減するための複数年にわたる戦略を評価し、策定することができる第三者の専門家が行うのが理想的です。
  • ソフトウェア・コンポジション解析(SCA)。SCAとバイナリ解析は、サプライ・チェーン・リスク管理ソリューションの中心となる要素です。しかし、すべてのSCA製品が同等なわけではありません。包括的なSCAソリューションでは以下の機能を活用します。
    • オープンソース検出の自動化。宣言された依存関係だけにとどまらず、すべてのオープンソースの検出とインベントリ全体をとりまとめることが可能
    • セキュリティおよびコンプライアンスに関する詳細なレポートとコンポーネントの品質に関する定期的な情報。堅固なオープンソース・コミュニティが積極的に保守している高品質のコンポーネントを常に使用可能
    • 開発チームや運用チームからの限られた入力情報とアクションを用い、独自のリスク許容度に合わせてオープンソースのガバナンスの実施を自動化する機能

オープンソース・コンポーネントのバイナリ、実行可能ファイル、ライブラリ(特に、信頼できるマニフェスト以外の場合)を分析することも重要です。これには以下の機能を含む必要があります。

    • Dockerファイルなどのマニフェストで公開されているもの以外のオープンソース・コンポーネントのバイナリ・コンテナ・イメージを検査する方法
    • 既知および未知の脆弱性を含むセキュリティ上の問題を発見するためのアプリケーションとコンテナの解析
  • 悪意のあるコードの検出。システムに悪意のあるコードが存在しないと確信できますか? 悪意のあるコードは活性化されるまで数か月または数年にわたって休止状態になっている可能性があります。この種のコードはソフトウェアに潜んでいる可能性があり、通常、従来のスキャン・ツールでは検出が困難です。セキュリティの専門家は、集中的な手動スキャンと自動検出を組み合わせて製品バイナリ、構成、データ内の疑わしい構造を発見し、悪意のあるコードに対処して脆弱性を修正するための適切な方法に関するアドバイスを提供します。
  • クラウドおよびコンテナのセキュリティ。BSIMM12は、過去2年間でクラウドとコンテナのセキュリティに関連するアクティビティの観測が大幅に増加したことを示しています。調査によると、組織はクラウド・セキュリティの管理と責任共有モデルの評価に独自の機能を開発するようになりました。インフラストラクチャのセキュリティ対策としては、次の手順が推奨されます。
    • クラウド/コンテナ戦略を定義し、ロードマップを作成する。効率的なクラウド・セキュリティ・プログラムをサポートするために企業が導入すべき戦略、機能、活動を明確にします。それには、実績あるクラウド・セキュリティ参照アーキテクチャと成熟度評価フレームワークを利用して、現在のクラウド導入状態を可視化し、将来実現可能な状態を定義する必要があります。
    • アーキテクチャ・リスク評価を実施して潜在的なアタックサーフェスを調査し、セキュリティ制御が不十分な箇所を特定し、改善方法について専門家からアドバイスを受ける。リスク評価では、ビジネス・リスクにつながる可能性がある技術的リスクを特定し、発生の可能性に基づいてリスクの優先順位を付け、緩和策を規定します。
    • 移行の前後で評価を行ってクラウド移行のセキュリティを確保する。これには、ベースライン・セキュリティコントロールを装備したセキュアなリファレンス実装を用いたクラウド・アプリケーションの構築とデプロイ、および静的アプリケーション・セキュリティ・テスト、ソフトウェアコンポジション解析、動的解析が含まれます。
    • コンテナのセキュリティを強化する。徹底した脆弱性評価ペネトレーション・テスト、アーキテクチャ・リスク/脅威モデリングを行い、DevSecOpsを考慮して、クラウド・コンテナのリスクを特定・軽減します。
    • クラウドを最適化および管理する。これには、クラウド・セキュリティ体制管理の定期的なヘルスチェックによる構成、ポリシー、コントロール、統合の検査が含まれます。また、必要に応じてアラートやインシデントの修正、調査、対応を含めます。
    • 脅威状態を改善し、ギャップに対処するための行動を優先順位付けして実装する。

サプライ・チェーンのセキュリティはSDLCの終盤のテストです。脆弱なSDLCでは、サプライ・チェーンにセキュリティを組み込むことはできません。SDLCのセキュリティが強固でなければ、SBOMの情報や、脆弱性、バグ、コードやソフトウェア・システム設計の欠陥などのデータがお客様に曝露してしまいます。行政命令やサプライ・チェーンに関するその他のセキュリティ指令により、DevSecOpsのアクティビティに弾みがついてセキュリティ文化がSDLCとサプライ・チェーン全体に浸透し、受容されていく可能性があります。

適切なソリューションの実装に必要な専門知識と経験を持つ適切な人材を見つけ、適切なリスク管理ポリシーを設定、管理、実施することは、特に現在のようなセキュリティ・リソース不足に直面している状況にあっては、困難になる可能性があります。シノプシスは、市場をリードするSCAソリューションであるBlack Duck®と、サプライ・チェーン・セキュリティに関する長年の経験を持つ多数のセキュリティ・サービス・コンサルタントを擁しています。

無料コンサルテーションに関するお問い合わせ