サプライチェーンの弱点として有名になることを望んでいる人はいません。しかし、製品のサイバーセキュリティ対策を優先しなかったことで、あまりにも多くの組織がデジタル・サプライチェーンに組み込まれたことによってリスクにさらされています。
このことを証明した最新の事例は、SolarWinds/Orionを悪用したサイバー攻撃です。
ITのネットワークやインフラストラクチャを監視するためのシステム管理ツールを提供するSolarWindsには、Orionと呼ばれるIT全体のパフォーマンス監視システムがあります。攻撃者がOrionのアップデートにマルウェアを注入していたため、専門家の指示どおりにソフトウェアを最新の状態に保つために、何万ものSolarWindsの顧客がOrionをアップデートしたことでマルウェアが拡散しました。
サプライチェーンのセキュリティにおけるドミノ効果
攻撃者は、これらの個々の顧客をハッキングする代わりに、1つのベンダーを侵害し、残りをサプライチェーンに任せて、顧客のデータとネットワークにアクセスできるようにします。
侵害されたアップデートの影響を受ける可能性があるとの同社の当初の見積もりは約18,000でしたが、SolarWindsのCEOであるSudhakar Ramakrishnaは最近、約100の民間企業と9つの連邦機関に対して、見積もりが大幅に下がったと業績発表会で述べました。
連邦政府機関には、国土安全保障、州、司法、商務、財務の各部門に加えて、NASA、FAA、国立衛生研究所、国家核安全保障局が含まれます。
それは、組織を侵害から守り、対処するのを支援する会社であるFireEyeにも影響を及ぼしました。 同社は2020年12月13日のブログで、少なくとも2020年3月以降に行われている、ロシアが関与したとされる「グローバル侵入キャンペーン」を発見したと発表しました。また、同社は自身も被害者であったことも認めました。実際、FireEyeが明らかにしなかった場合、他の何千もの被害を受けた企業や組織は、自分たちが危険にさらされていることに気付いていなかった可能性があります。
これは新しい問題というわけではありません。セキュリティの専門家は、サプライチェーンの脆弱性により、ハッカーが引き起こす可能性のある被害が指数関数的に増加する可能性があることを長年警告してきました。しかし、これらの警告の有効性を確認するニュースが連続していても、過去10年間、サプライチェーンのセキュリティに実質的な改善はあまりありませんでした。
上院情報委員会のMark Warner 委員長(D-VA)は、2021年2月のSolarWindsハッキングに関する公聴会で認めましたが、この攻撃は、「私たちが長い間無視してきた多くの長引く問題を浮き彫りにしました」と述べました。
良いニュースは、議会が関与しなくても改善が可能であるということです。 サプライチェーンのセキュリティを強化する方法は十分に確立されています。 組織がそれらを実装すれば、それらも機能します。
では、どうすればその弱いリンクになるのを避けることができるでしょうか?
今日の相互接続された世界では、ほとんどの組織はサプライチェーンにおける消費者と提供者の両方です。同様に、SolarWindsなどのさまざまなサードパーティからの材料、製品、およびサービスを消費し、他の組織または一般向けの製品およびサービスも作成します。
ただし、セキュリティの重要性は役割ごとに少し異なります。 このブログサイトの別の投稿では、サプライチェーンの消費者向けのセキュリティに関する推奨事項に焦点を当てていました。 これは提供者に焦点を当てます。
ソフトウェアの提供元にとってのサプライチェーン・セキュリティのベストプラクティス
始めるための最良の方法は、基礎から始めることです。提供者にとっての基本的な優先事項は、ソフトウェア開発ライフサイクル(SDLC)のすべての段階を通じてソフトウェアにセキュリティを組み込み製品を強化することです。
これらのセキュリティテスト対策には、次のものが含まれます:
- 最初に、アーキテクチャ・リスク分析と脅威モデリングは、チームがアプリケーションやその他のソフトウェア製品の構築を開始する前に、設計上の欠陥を排除するのに役立ちます。
- ソフトウェアの作成と構築を行う間、静的、動的、およびインタラクティブなアプリケーション・セキュリティ・テストでは、コードが停止し、実行され、外部入力と相互作用しながら、バグやその他の欠陥を見つけることができます。
- ソフトウェア・コンポジション解析は、開発者がオープンソース・ソフトウェア・コンポーネントの既知の脆弱性と潜在的なライセンスの競合を見つけて修正するのに役立ちます。
- ファジング・テストでは、不正な入力に対してソフトウェアがどのように応答するかを明らかにできます。
- ペネトレーション・テストや「レッドチーム」は、ハッカーを模倣して、ソフトウェア製品が展開される前に残っている弱点を見つけることができます。
Synopsys ソフトウェア・イングリティ・グループの主任コンサルタントであるMichael Fabian は、提供者は「個々のコードベースを調査して、意図しない機能が現在のビルドまたはデプロイメントに含まれていないことを確認する」必要があると述べました。
それはいくつかの理由で理にかなっています。まず、何を持っていて、それが何でできているかを知らなければ、何かを保護または保護することは不可能です。また、あなたが提供者である場合、あなたの顧客はあなたにこのレベルの精査を要求している、または要求しているはずです。すでにそれを行っていることを証明できれば、おそらく長期的な顧客を生み出せるでしょう。
次に、Fabianが述べたように、「リスク管理とフレーミングの演習は、国際標準化団体と業界リーダーによって概説された標準フレームワークに従って行われる必要があります」。
これらのアクティビティには、次のものが含まれます:
- 魅力的な機能プロファイルを備えた潜在的にリスクの高いシステムを発見する
- 開発パイプラインの脆弱性とリスク管理の評価を実施する
- リスクに対処するための技術的および組織的な管理を開発する
- 脆弱なコードや侵害されたコードの削減を基準にSDLCの評価を実施する
- システムのデリバリとデプロイメントのフレームワークに関するリスク管理活動を実施する
- 発見されたリスクに対応する追加の対策を開発する
- 統合されたサードパーティ・コンポーネントのベンダー・リスクを管理する
組織がリスク管理を改善するのに役立つ他のリソースの中には、Building Security In Maturity Model(BSIMM:セキュア開発成熟度モデル)があります。これは、業界の組織がどのようなことをして、何が機能しているかを文書化することにより、組織がソフトウェアセキュリティイニシアチブの成長と改善を支援するための年次報告書です。
また、レポートの作成者は、サードパーティが提供するソフトウェアに焦点を当てたBSIMMsc(以前はvBSIMMと呼ばれていました)も提供しています。
サプライチェーンのセキュリティ慣行に関するその他のフレームワークには、NIST SP 800-161、ISO 20243、SAFECode third party risk practices、および East-West Institute IT buyer’s guide があります。
サプライチェーンをセキュアに
当然のことながら、このような対策にはスタッフと技術が必要であり、時間とお金がかかります。 しかし、その投資は、組織の想像をはるかに超える損害を回避するのに役立ちます。ブランドの毀損、法的責任、市場シェアの喪失、コンプライアンス制裁などです。
それらを乗り越えた企業は、意図したとおりに機能し、安全な製品とサービスを提供する必要があることを知っています。そして、ほぼ普遍的に接続された世界では、安全であるためには、彼らも安全でなければなりません。
Continue Reading
ソフトウェアサプライチェーンのセキュリティリスクの変化
Jul 03, 2024 / 1 min read
.jpg)
2024 OSSRA レポート:オープンソース・コンポーネントの古いコードのリスク
Apr 16, 2024 / 1 min read
SBOMとSPDX:現在と将来
Oct 27, 2023 / 1 min read
