製品セキュリティ運用（セキュリティ運用必須！ソフトウェアサプライチェーンセキュリティの基礎知識と4つの重要な実践方法！）

安全な操作に必須！ソフトウェア サプライ チェーン セキュリティの基礎と 4 つの重要な実践方法!

現代のエンタープライズ ソフトウェアは通常、カスタム コードと、クローズド ソースとオープン ソースの両方を含む、増加し続けるサードパーティ コンポーネントで構成されています。これらのサードパーティ コンポーネントには、他のサードパーティ コンポーネントから派生した機能がいくつかあることがよくあります。これらのコンポーネント (およびその依存関係) を提供するすべてのベンダーとリポジトリが、ソフトウェア サプライ チェーンの大部分を構成します。しかし、ソフトウェア製品のサプライ チェーンには、コードだけではなく、ソフトウェアの実行を維持するすべての人材、サービス、インフラストラクチャが含まれます。要約すると、ソフトウェア サプライ チェーンは通常、さまざまなコード ソース、ハードウェア、および人材を結集して、大規模なソフトウェア製品を共同で製造、サポート、および提供する大規模で複雑なネットワークです。

サードパーティ製ソフトウェアやオープンソース ソフトウェアを導入すると、組織は時間とコストを節約でき、社内の開発者が車輪の再発明をすることなく革新的なソフトウェアを開発できるようになりますが、それには代償が伴います。これらのコンポーネントは、組織に雇用されていない人々によって作成および保守されており、組織が採用しているセキュリティ ポリシー、プラクティス、および品質基準と同じセットに従わない可能性があります。これにより、ポリシー間の相違や矛盾により、攻撃者に悪用される可能性のある見落とされた弱点領域が生じる可能性があるため、セキュリティ上のリスクが本質的に生じます。

攻撃者がソフトウェア サプライ チェーンのセキュリティ防御を突破する方法は、次のように多数あります。

• サードパーティのコンポーネントの脆弱性を悪用する • サードパーティの開発環境をハッキングしてマルウェアを挿入する • 悪意のある偽のコンポーネントを作成する

ソフトウェア サプライ チェーン セキュリティは、組織が使用するサードパーティ コンポーネントから発生するこれらの脅威やその他の脅威を検出し、防止し、軽減することを目的としています。継続的インテグレーションと継続的デリバリー (CI/CD) に関するガイド シリーズの一部として、この記事ではソフトウェア サプライ チェーン攻撃とそれを阻止する最善の方法について説明します。

米国国立標準技術研究所 (NIST) によると、ソフトウェア サプライ チェーン攻撃は、攻撃者が「ソフトウェア ベンダーのネットワークに侵入し、悪意のあるコードを使用して、ソフトウェアが顧客に提供される前にソフトウェアを侵害する」場合に発生します。侵害されたソフトウェアは、顧客のデータやシステムを侵害する可能性があります。言い換えると、ハッカーが信頼できるベンダーを侵害し、その製品に悪意のあるコードを挿入します。そのコードが最終的にお客様のシステムに入り込み、ハッカーが機密データにアクセスしたり、コードを侵害して顧客に危険を及ぼしたりして、ランサムウェア攻撃やその他の悪意のある活動のリスクにさらされる可能性があります。侵害されたベンダー ソフトウェアは、最初から密かに改ざんされていた場合もあれば、後から侵害されてパッチやホットフィックスなどの更新を通じて導入された場合もあります。こうした攻撃は軽視できるものではなく、政府、重要なインフラストラクチャ、民間業界のソフトウェア ユーザーなど、侵害されたソフトウェアのすべてのユーザーに影響を及ぼし、深刻な損害を引き起こす可能性があります。

攻撃者は通常、サプライ チェーン内で保護が弱いリンクを探し、そのリンクを使用してサプライ チェーン内を上方または横方向に移動して、真の標的に到達します。攻撃者は信頼関係を利用して、最初の被害者のコンポーネント、製品、またはサービスを採用している組織を侵害し、たった 1 回の攻撃で十分に保護された多数の組織に侵入することができます。

ソフトウェア サプライ チェーン攻撃は、標的組織の内部防御からサプライヤーの内部防御に焦点を移すという点で独特です。十分に防御された組織を直接攻撃するには、時間と労力をかける価値がない可能性があります。しかし、組織がセキュリティ対策が弱いベンダーを使用している場合、攻撃者はそのベンダーを標的にして、そのネットワークや開発プロセスをハッキングする可能性があります。一度成功すると、攻撃者はそれを拠点として利用し、それまで十分に保護されていた組織システムに侵入することができます。

マネージド サービス プロバイダー (MSP) は、サプライ チェーン攻撃の一般的な標的です。組織は、ネットワークやシステム管理などの機密性の高い作業に関連するものも含め、技術職をアウトソーシングするために MSP を使用します。 MSP を侵害すると、攻撃者はそのすべての顧客の企業ネットワークに即座にアクセスできるようになります。これらのタイプの攻撃は、ランサムウェア攻撃、POS 侵入、ビジネス メール詐欺 (BEC) 詐欺を組織するために使用される可能性があります。こうした攻撃は近年急速に増加しており、多くの国の政府サイバーセキュリティ組織はこの傾向が今後も続くと考えています。 2021年に発表されたレポートでは、単一のMSP（マネージドセキュリティサービスプロバイダー）へのサイバー攻撃により、数百の企業に最大800億ドルの経済的損失が発生する可能性があると推定されています。

MSP 攻撃は特権アクセスを悪用し、その他のサプライ チェーン攻撃はソフトウェア ベンダーのシステムをハッキングしてマルウェアを仕掛けます。その後、マルウェアはベンダーの顧客に拡散します。悲惨な SolarWinds 攻撃ではこのアプローチが使用されました。この有名なサプライ チェーン攻撃では、攻撃者は SolarWinds が署名したソフトウェア アップデートにマルウェアを埋め込み、一見無害なアップデート パッケージを顧客に配布しました。シスコ、SAP、インテル、デロイト、NVIDIA、富士通、楽天など大手多国籍企業が攻撃を受けた。攻撃の影響は非常に大きく、企業がその後にどれだけの費用を費やしたかを計算することさえ困難ですが、推定では1,000億ドルに上ります。

サプライ チェーン攻撃で使用されるマルウェアのもう 1 つのソースは、npm や ruby​​gems などのパッケージ レジストリからのマルウェア パッケージです。これは新しい戦術ではありませんが、最近突然人気が出てきました。攻撃者は、ブランドのハイジャック、タイポスクワッティング、依存関係のハイジャック、依存関係の難読化を利用して、疲れた開発者や不注意な開発者を騙し、信頼できるオープンソース ソフトウェアを装ったマルウェアをダウンロードさせます。ダウンロードされると、攻撃者は悪意のあるパッケージ内のマルウェアを使用してユーザー名やパスワードなどの個人情報を盗み、それを使用して組織のインフラストラクチャ内を横方向に移動して、組織の顧客やパートナーに到達することができます。

多くの場合、最初のサプライ チェーン攻撃は、攻撃者の計画の最初のステップにすぎません。最初の侵害の後、攻撃者はネットワークの制御を強化し、より機密性の高いシステムにアクセスするために、横方向に移動して権限を昇格しようとすることがよくあります。その後、または同時に、攻撃者は機密データを盗んだり、運用システムを混乱させたり、ランサムウェア攻撃のように被害者組織から金銭を強要したりする可能性があります。

サプライ チェーン攻撃は成功するまでに数か月かかることがありますが、長期間検出されないこともよくあります。高度な持続的脅威 (APT) 攻撃と同様に、サプライ チェーン攻撃は多くの場合、標的を絞って高度に洗練されています。

優れた従来のサイバーセキュリティ防御を導入している場合でも、組織は依然としてサプライチェーン攻撃に対して脆弱になる可能性があります。実際、多くの組織が従来のセキュリティ対策を強化し、攻撃者にとって簡単に狙える攻撃手段が減ったため、サプライ チェーン攻撃が増加している可能性があります。ただし、ソフトウェア構成分析 (SCA) などの一部のセキュリティ ソリューションはサードパーティ ソフトウェアのリスクを評価しますが、従来のサイバーセキュリティ アプローチのほとんどは、製品またはサービスにすでに含まれている要素を暗黙的に信頼します。組織では高度なファイアウォールやエンドポイント セキュリティ テクノロジを使用している可能性がありますが、これらのテクノロジや組織のインフラストラクチャの他の部分がサプライ チェーン攻撃によって侵害される可能性があります。

欧州連合サイバーセキュリティ機関 (ENISA) のレポートによると、報告されたサプライチェーン攻撃の約 66% は、サプライヤーのコードを使用してサプライヤーの顧客を侵害していました。オープンソース パッケージ レジストリ内のマルウェア パッケージの増加を考えると、オープンソース ソフトウェアは特にリスクが高いもう 1 つの領域です。組織は、使用するサードパーティ製ソフトウェアが改ざんされていないことを確認することに重点を置く必要があります。

ENISA のもう一つの重要な発見は、分析されたサプライ チェーン攻撃の半数以上において、サプライヤーが攻撃が発生したことに気付いていなかったか、攻撃が発生したという事実を隠していたことです。しかし、調査対象となった顧客組織の 89% は、自社のインフラストラクチャに対する攻撃がどのように発生したかを把握しています。これは、ベンダーとその企業顧客の間で、セキュリティ インシデント報告の成熟度にギャップがあることを示しています。

次のベスト プラクティスは、組織が次のサプライ チェーン攻撃に備えるのに役立ちます。

1脆弱性への迅速な対応

サードパーティ コンポーネントの脆弱性を迅速に特定して修正することが、サプライ チェーン攻撃を防ぐための最初の戦略となるはずです。一部のサプライ チェーン攻撃では未知の (ゼロデイ) 脆弱性が悪用されますが、これらの攻撃の多くは既知の脆弱性を悪用します。組織は、ソフトウェア部品表 (SBOM) を生成して、サードパーティ製ソフトウェアのインベントリを作成し、既知の脆弱性を持つコンポーネントを特定し、関連する更新とパッチをできるだけ早く適用する必要があります。

2.サプライチェーンの詳細な可視性を維持する

見つけられなければ、何を持っているか知っていても意味がありません。組織は、ソフトウェア製品ポートフォリオ内でコンポーネントが使用されている場所と、これらのコンポーネントがシステムおよびソース コードにどのように接続されているかを理解する必要があります。脆弱性が発見された場合、開発者は脆弱性を効果的に修正または排除できるように、複数のソフトウェア プロジェクトで脆弱なコンポーネントが使用されている場所を正確に把握する必要があります。

3.潜在的に脆弱なコンポーネントをマークする

プロジェクトの期限に間に合わせるために急いでいる開発者は、脆弱性を含む可能性のある新しいソフトウェア コンポーネントを継続的に追加します。組織は、サプライ チェーンのセキュリティを左にシフトして、開発者がソフトウェア開発ライフサイクルの早い段階で脆弱なコンポーネントや安全でないコンポーネントを選択しないようにするために必要な知識、サポート、ツールを確保したほうがよいでしょう。

潜在的に脆弱なコンポーネントが発見されたら、すべての開発チームがそのコンポーネントを認識できるようにフラグを立てる必要があります。適切なツールを使用すると、フラグが付けられたコンポーネントや脆弱性スキャンに失敗したコンポーネントを設定して「ビルド プロセスを中断」し、それらのコンポーネントが本番環境にデプロイされるのを自動的に防ぐことができます。これは、CI/CD パイプラインに必須の機能です。

4.継続的な監視コンポーネント

現在安全なコンポーネントが将来も安全であるとは限りません。常に新たな脆弱性が出現し、コンポーネントはライフサイクルの終わりに達し、オープンソースの貢献者がプロジェクトを放棄してサポートを終了する可能性があります。どちらの場合でも、コンポーネントのリスク プロファイルの変化を検出し、リスクの重大度を優先順位付けし、必要に応じて特定のコンポーネントを削除できる必要があります。

考慮すべきもう一つの重要な要素は、サプライヤーを精査することを忘れないでください。

サードパーティのソフトウェアについて製品マネージャーと話す機会はめったにありませんが、会社で大規模な購入を行う場合は、ベンダーのセキュリティ対策について必ず質問する必要があります。どのようにして製品を安全かつ改ざん防止に保っているのでしょうか?どのようなツールが使用されましたか?サプライチェーンの可視性をどのように維持していますか?

- 【終わり】-