ソフトウェア・サプライ・チェーンのセキュリティ

ソフトウェア・サプライ・チェーン攻撃がトレンドになっている理由
ソフトウェア・サプライ・チェーン攻撃の例
サプライ・チェーン・セキュリティのリスクを低減する方法
シノプシスの支援方法

定義

ソフトウェア・サプライ・チェーンのセキュリティを理解するには、まずソフトウェア・サプライ・チェーンの定義を明確にする必要があります。ソフトウェア・サプライ・チェーンとは、ソフトウェア開発ライフサイクル（SDLC）全体を通じて、アプリケーションに関与する、または開発において何らかの役割を果たす、あらゆるものを指します。ソフトウェア・サプライ・チェーン・セキュリティは、ソフトウェアの作成およびデプロイに関与するコンポーネント、アクティビティ、プラクティスのセキュリティを保護する活動です。これには、サードパーティー製コードと独自開発のコード、デプロイ方法とインフラストラクチャ、インターフェイスとプロトコル、開発プラクティスと開発ツールが含まれます。組織には、これらのセキュリティ・アクティビティを実行し、セキュリティ対策の証拠を消費者に提供する責任があります。

「単なる文書」で終わらせないSBOM 作成のための処方箋
SBOMの取り組みを検討する際に考慮すべき推奨事項

eBookをダウンロード

ソフトウェア・サプライ・チェーン攻撃がトレンドになっている理由

ソフトウェア開発チームがアプリケーションを保護するための対策を強化していることに対応して、攻撃者は独自の方法を考案する必要がありました。コードの再利用とクラウドネイティブ・アプローチの急増傾向が続いていることで、目的のターゲットから数段階離れた場所から間接的に攻撃を仕掛ける手段が増えています。脅威アクターがサプライ・チェーンを横断するためにたった1つの弱点を悪用して、機密データの盗難、マルウェアの植え付け、システムの制御の乗っ取りなどを試みることが可能になった例を最近多く見てきました。

セキュリティ侵害の増加傾向を踏まえて、バイデン大統領は、複数の連邦機関の長に対し、使用・運用するソフトウェアに関する追加のセキュリティ・ガイドラインを策定するよう指示する大統領令を発令しました。米国のサイバーセキュリティ・プロファイルを強化することを目的としたこの命令は、連邦レベルで指定された内容をはるかに超えて、全米で組織のセキュリティ・プラクティスの再検討を促しました。

サプライ・チェーンのセキュリティ対策で考えるべき6つのこと

ソフトウェア・サプライ・チェーンの脆弱性を特定する方法、およびその対処に必要なツールと対策についての詳細はこちらをご覧ください。

ソリューションガイドをダウンロード

ソフトウェア・サプライ・チェーン攻撃の例

米国の大手IT企業であるSolar Windsは、最近サプライ・チェーン攻撃の被害に遭いました。元インターンによる脆弱な情報セキュリティ慣行により、重要な内部パスワード（solarwinds123）が漏えいしました。パスワードが侵害されるとすぐに、疑わしいロシアのハッカーがSolarWindsの主力製品の1つであるOrionのアップデートを構築するシステムにアクセスしました。攻撃者は、ここから悪意のあるコードを正当なソフトウェア・アップデートに挿入し、Orionのコンパイルに関与した実行中のプロセスを監視および特定して、SUNBURSTマルウェアを含めるようにソースファイルを書き換えることに成功しました。Orionのソフトウェア・アップデートは推定18,000の顧客の環境にデプロイされ、攻撃者はSUNBURSTによって返送された情報を利用してマルウェアの追加、アクセス権の拡張、スパイ行為のターゲットを特定しました。攻撃の標的と被害箇所がエントリー・ポイントから数段階離れていたという点で、これは最近のソフトウェア・サプライ・チェーン攻撃の典型的な例です。

サプライ・チェーン・セキュリティのリスクを低減する方法

サプライ・チェーンのセキュリティ・リスクを低減するための主要な対策と方法を以下に示します。

使用するコードのセキュリティと信頼性を評価する
常にセキュアな独自開発コードを作成できるようにする
コードをセキュアな方法で構築・デプロイする
アプリケーションで使用されるデータ転送方法を強化する
デプロイされたアプリケーションの脅威を継続的にテストおよび監視する
コンシューマーにソフトウェア部品表（SBOM）を提供する

シノプシスの支援方法

Synopsys Black Duck^®ソフトウェア・コンポジション解析（SCA）は、アプリケーションやコンテナに含まれるオープン・ソースおよびサードパーティーのコードから生じるセキュリティ、品質、ライセンス・コンプライアンス上のリスク管理を支援します。Black Duckは、アプリケーション構築のベースにあるオープンソースの依存関係に関する強力な洞察により、コードの内容と出所、および関連するセキュリティまたはライセンスのリスクを正確かつ詳細に記述したソフトウェア部品表（SBOM）を提供します。SCAツールは、この情報を継続的に提供し、一刻を争う状況下でオープンソース・リスクの最新の全体像を確実に把握できるという点で特に重要です。

Coverity^®は、開発チームとセキュリティ・チームがソフトウェア開発ライフサイクル（SDLC）の早い段階でセキュリティと品質の不具合に対処すること、アプリケーション・ポートフォリオ全体のリスクを追跡および管理すること、セキュリティおよびコーディング規約へのコンプライアンスを確保することを支援する、迅速かつ正確で拡張性の高い静的アプリケーション・セキュリティ・テスト（SAST）ソリューションです。Coverityを使用すると、独自開発のコードをシームレスに保護し、インフラストラクチャのコード化でセキュリティを保証できるため、独自開発のコードがソフトウェア・サプライ・チェーンの弱点にならないようにすることができます。

WhiteHat Dynamicにより、開発ニーズに合わせて最適化された動的アプリケーション・セキュリティ・テスト（DAST）を迅速かつ容易に実行できます。WhiteHat Dynamicは、Webアプリケーションのすべてのアクセス・ポイントをヘッドレス・ブラウザにより体系的にテストし、新しく作成されたフォームに入力されたデータでも、JavaScriptおよびAJAXリクエストを傍受して分析します。また、OWASP Top 10のWebアプリケーション・セキュリティ・リスク、およびその他の既知のセキュリティ上の弱点と脆弱性をチェックし、検出された問題を取り除く手順を説明します。アプリケーションの動作を監視することは、潜在的なサプライ・チェーンの脅威から身を守るための重要な方法です。