シノプシス ソフトウェア・インテグリティ・グループはブラック・ダックになりました 詳細はこちら

close search bar

申し訳ありませんが、この言語ではまだご利用いただけません

close language selection

サプライチェーンのセキュリティリスクを担保する

Black Duck Editorial Staff

Mar 23, 2023 / 1 min read

「サプライチェーン」は、「リンク」の連なりであるため、組織がビジネスを行うサードパーティ(ベンダー、パートナー、請負業者など)との関係を表す適切な用語で、サイバーセキュリティにおいても重要な言葉です。たとえば、「あなたの安全は、最も弱い『リンク』と同じくらい安全である」という意味です。

また、National Cybersecurity Awareness Month の間だけでなく、その現実を定期的に思い出させることがとても必要なのです。ほとんどのサプライチェーンには非常に弱い「リンク」が存在することを示す証拠が山ほどあるからです。さらに困ったことに、ほとんどの組織が「リスクを十分に認識」しているにもかかわらず、リスクに伴う事件や事故が発生し続けていることからすると、認識していない組織はほとんど無いということです。

おそらく、弱い「リンク」によるリスクの最も有名な初期の事件は、大規模小売業のTargetでしょう。 2013年、攻撃者は、同社のサービスサプライヤーの 1 つである空調制御(HVAC)システムの請負業者に対するフィッシング攻撃を通じて、Targetが保有する4,000万件のデビットカードとクレジットカード番号、および住所と電話番号を含む 7,000万件のその他の記録を盗むことに成功、Targetの販売時点管理(PoS)決済カードリーダーにアクセスできるようになりました。

サプライチェーン攻撃の蔓延

しかし、有名だからといって珍しいわけではなく、今やサプライチェーンへの攻撃が蔓延しているのです。2019年の初め、エンドポイント・セキュリティ企業のCarbon Blackは、いわゆるアイランドホッピングに関するレポートを発行しました。これは、攻撃者が被害者のネットワークの侵害を拡大しようとするときに行うことを表す用語です。

「最近の攻撃者は、システム全体を「所有」したいと考えています。今日の攻撃のおよそ半分(50%)がアイランドホッピングを利用しています。」とレポートは述べています。

または、Carbon Blackの最高サイバーセキュリティ責任者であるTom Kellermannは次のようにレポートで述べています。

「たとえば、彼らはあなたの家に侵入しているだけではありません。彼らはそこに店を構えることで隣人の家にも侵入することができるのです。」

Ponemonの発行した「2018 Data Risk in the Third-Party Ecosystem」では、米国と英国の1,000を超える回答企業の59%が、前年中にサードパーティまたはベンダーによって引き起こされたデータ侵害の被害者であったと述べ、22%は被害にあったかどうかすらわからないと答えました。

その他の例では、ロシア語を用いるハッカーがウクライナの会計アプリケーションの更新メカニズムを侵害することで、2017年に悪名高い NotPetya マルウェアを広めることに成功しています。

Motherboardは2019年3月に、攻撃者が世界最大のコンピューターメーカーの 1 つである台湾に本拠を置く ASUS の Live Update 機能を侵害し、悪意のあるバックドアを約500,000台のコンピューターに拡散したことを発見したと、Kaspersky Labの研究者によって報告されました。研究者はこれに「ShadowHammer」というラベルを付けました。「悪意のあるファイルは正規のASUSのデジタル証明書で署名されており、正規のソフトウェアアップデートであるかのように見せかけていた」ためです。

記憶に新しいものでは、2022年にトヨタの工場が停止した事件が世界中で報道されましたし、もっとたくさんの例がありますが、すでに問題を理解できたことと思います。

サイバー・サプライチェーンのリスク管理

攻撃者の間で「サプライチェーン」が非常に人気があるのはなぜでしょうあ。明らかな理由の1つは、攻撃対象が拡大し続けていることです。ビジネスは、特にオンラインの世界では、かつてないほど相互接続されています。そして、それらのほとんどは、数十、数百、さらには数千ものアプリを使用しており、その多くは外部ベンダーが提供しているもので、多く利用されているアプリを乗っ取ることができれば攻撃者にとって費用対効果が高いと考えられるからです。
 

サプライチェーン・リスクの優先順位付け

以上のことから、組織はサイバー・サプライ チェーン・リスク管理(C-SCRM)に関する NIST(米国国立標準技術研究所)のアドバイスに従うことをお勧めします。

そして、同機関は次のように呼びかけています。

「IT/OT製品およびサービス・サプライチェーンの、分散型および相互接続型の性質に関連するリスクを特定、評価、および軽減することが重要です。また、サプライ チェーンの脅威や脆弱性は、IT/OT 製品やサービスをあらゆる段階で意図的または非意図的に危険にさらす可能性があるため、システムのライフ サイクル全体 (設計、開発、配布、展開、取得、保守、および破壊) が対象となります。」

しかし、前述のように、組織はリスクを認識していると述べているものの、ほとんどの組織はサプライチェーンのセキュリティを優先事項にしていないことも認めています。

Gartnerによる2019年5月30日のレポート「Get Ahead of the Expanding Risk Frontier: Supply Chain Security」では、「サプライチェーンのリーダーは、サイバー攻撃のリスクを懸念事項のリストの最上位に挙げていますが、その戦略としての機能とITの関係を特徴付けているのはそのうちの10%のみです。」

これは皮肉なことであり、厄介なことでもあります。なぜならサプライチェーンを利用したいと思っている人なら誰でもたくさんの助けが得られるからです。
 

契約における効果的な調達言語の開発

当時Black Duckのクリティカルシステム・セキュリティ担当ディレクターだったMike Ahmadi(現在はFarallon Technology Groupのリサーチ担当副社長)と、当時Schneider ElectricのCSO兼副社長のサイバーセキュリティ担当だったGeorge Wrenn(現在はZenPrivataのFounder兼CEO) は、効果的な調達言語を作成する方法について広範なアドバイスを提供しました。これは、サプライヤーまたはその他の第三者が提供するソフトウェアの品質、信頼性、そして何よりもセキュリティに関する声明に対して契約上責務を負うように設計されているからです。

誰もが知っているように、人々が何かに署名するとき、彼らはそれをより真剣に受け止める傾向があるので、それは基本的なものであるべきです。
 

自動化テストツールを用いる

次に、Black Duckによるオープンソース·セキュリティ&リスク分析(OSSRA)レポートによれば、すでによく知られていることですが、監査された1700あまりのソフトウェアは、オープンソースが最終コードの96%を構成していますが、利用するオープンソースのコードの中身を知ろうとせず、テストも行わない組織は、サプライチェーン問題を引き起こすことになります。

しかし、Ahmadiが2016年に指摘したように、面倒で時間のかかる手作業によるレビューを実施する必要はありません。代わりに、自動化されたツールを使用することで、彼の求めていたテストを正確かつ迅速に行うことができます。

また、「手作業で詳細に調べ上げてテストケースを組み立てることで、プロトコルレベルでファジングテストを行うことができます。あるいは、自動テストツールを利用すれば、ボタンを押してそれらのテスト結果が出るのを待つだけです。」

ソフトウェアベンダーを精査する方法

また、BSIMM(Building Security In Maturity Model)レポートは、同業他組織がどのような対策を実施していて、どんなやり方が機能しているかを示すことで、組織のソフトウェア・セキュリティ・イニシアチブ(SSI)の成長と改善を支援します。このレポートの他にも、サードパーティが提供するソフトウェアに焦点を当てた BSIMMsc (以前は vBSIMM と呼ばれていました)も提供しています。

Black Duckの主席科学者であり、BSIMMの共著者であるSammy Miguesは、ホワイトペーパーで、BSIMMscは「認証と自動化を活用して、ソフトウェア・サプライチェーン・リスク管理の基本的なセキュリティ対策として機能する」と述べています。

もう少し簡単に言えば、組織が「無知」なソフトウェア・ベンダーの採用を回避するのに役立つように設計されているということです。
 

ソフトウェア・サプライチェーン・リスク管理の基礎

BSIMMscレポートは、 BSIMM コミュニティ内におけるソフトウェア・ベンダーと取得者とのやりとりについての議論に基づいており、ソフトウェア サプライヤーを審査するための次のリストを提案します。これらのベンダーは、次の証拠を作成できる必要があります。

  • セキュア・ソフトウェア開発ライフサイクル(SSDL)のドキュメント
  • SSDLで記述されたアクティビティが期待通りに実施されたことを示す成果物
  • ソフトウェア・セキュリティのイニシアティブと技術に対する高い知見を備えていることを示すことのできるソフトウェア・セキュリティ・リーダーとの個別のやりとり
  • 製品セキュリティグループ、あるいはアプリケーション・セキュリティグループと呼ばれる、フルタイムのソフトウェア・セキュリティ・グループ(SSG)の存在
  • セキュリティ上の不具合を修正を担保するための文書化されたプロセス
  • ソフトウェアセキュリティの取り組みと成果についての第三者によるレビュー
     

サードパーティの監視

さらに、Gartner のレポートではサードパーティ・ベンダーのセキュリティを効果的に監視しようと試みている組織のための「プレイブック」を提供しています。

そして、アナリストの Katell Thielemann、Mark Atwood、Kamala Raman からの推奨事項には次のようなものがあります。

  • あなたとあなたの第三者が何を保有し、何を保護する必要があるかを理解する
  • サードパーティのセキュリティとリスク管理体制を評価する
  • 適用されるすべての業界規制を把握し、サプライチェーン・リスク管理戦略の一部に

その他、推奨されるサプライチェーン・リスク管理のプラクティス

最後に、Black Duckのバリューチェーン・セキュリティ・ディレクターであるEmile Monetteは、NIST SP 800-161r1ISO 20243SAFECode third-party risk practicesEastWest Institute ICT Buyers Guide、国土安全保障省のプログラムにおける C-SCRM の実装など、さまざまなサプライ チェーン ソフトウェア セキュリティ プラクティスの編集を指摘しています。

以下を含む:

この長いリストのすべてを実行しても完璧であることの保証にはなりません。しかし、もっと近づくことができます。これは通常、攻撃を諦めて、他のより簡単なターゲットを探すように仕向けるのに十分です。

そして、これらの取り組みを検討する際に「それを行う余裕があるか」と躊躇してはいけません。穴の開いたサプライ チェーンからのデータの盗難、法的責任、ブランドの損傷などのリスクを考えると、問題は「それらに取り組まずに済む余裕があるか」ということであるはずだからです。

Continue Reading

トピックを探索する