「最初に注意を引く」ためにラバの眉間を板切れで叩いて命令に従うようにした男の話は、ユーモアで深刻な話題に注目してもらうことの良い例です。しかし、注目してもらえるまで待つ必要があるとは言えません。
したがって、18,000を超える組織に影響を与えたSolarWinds / Orionサイバー攻撃から何か良いものが生まれた場合、それはサイバーサプライチェーンのリスクについての比喩的な”板切れ”として役立つ可能性があります。
専門家は、これらのリスクについて何年も、さらには何十年も警告してきました。物理的なチェーンと同じように、サプライチェーンはその最も弱いリンクと同じくらい強力です。したがって、サプライチェーン内のいずれかの組織(ベンダー、パートナー、請負業者)が安全でない場合、サプライチェーンを抱える組織も安全ではありません。
明らかな例はたくさんありますが、最も悪名高いのは、2014年にTargetのPOSシステムが侵害された事件です。これは、ハッカーがメールでマルウェアを配信するソーシャルエンジニアリング攻撃を介して会社のベンダーの1つであるHVAC請負業者に侵入したために発生しました。
この事件では、4,100万件のクレジットカード番号、7,000万件の住所、電話番号などの個人情報が侵害されました。
残念ながら、この事件が起きてもサプライチェーンのセキュリティの世界を実質的に変えることはありませんでした。おそらくほとんどの組織は、Targetに起こったことは彼らには起こらないだろうと考えていました。しかし現在、公的部門と民間部門の両方で、ほぼすべての業界から18,000人以上の犠牲者が出ています。2021年2月23日に行われた米国上院情報委員会の公聴会で、Mark Warner(D-VA)委員長は、SolarWindsへのハッキングが「私たちが長い間無視してきた多くの長引く問題を浮き彫りにした」ことを認めました。
つまり今回は違うかもしれません。突然、サプライチェーンのセキュリティがホットな話題になったのです。非常にホットで、誰もがそれについて話していると言ってもいいでしょう。
それは良いことですが、SolarWindsの事例に示されているように、リスクは現実のものです。ネットワークとインフラストラクチャを監視するためのシステム管理ツールを提供する同社には、Orionと呼ばれるITパフォーマンス監視システムがあります。
この事件から言えることは、ハッカーがOrionアップデートにマルウェアをインジェクト(注入)することができ、「ソフトウェアを最新の状態に保つ」というスローガンに従ってマルウェアを忠実にインジェクトすることになり、結果的に何千もの顧客に拡散したというものです。おかげで攻撃者はそれらの顧客のデータとネットワークにアクセスできるようになり、その中には、国土安全保障省、州、司法省、NASA、FAA、商務省、財務省などの連邦機関に加えて、国立衛生研究所と国家核安全保障局が含まれていました。
リスクは現実のものであり、その結果は壊滅的なものになる可能性がありますが、それらのリスクに対する解決策も現実のものです。 つまり、サプライチェーンのリスクを管理および軽減するために利用できる緩和策があるのです。
シートベルト、エアバッグ、レーンアシスト、クラッシャブルゾーン、事故回避技術が自動車事故によって怪我や死亡に至ることがないことを保証するものではないことと同じように、リスクを完全に回避することを保証しているわけではありません。しかし、これらの対策によって運転がはるかに安全になるのと同様に、サプライチェーンのセキュリティ対策により、組織の安全性を大幅に高めることができるのです。
さて、私の記事はみなさんの注意を惹くことができたでしょうか?
多くの組織はサプライチェーンのコンシューマー(消費者)とプロデューサー(提供者)の両方であるように、彼らはさまざまな第三者から材料、製品、およびサービスを受け取り(消費し)、また他の組織または一般の人々のために製品およびサービスを開発・提供しています。ただし、セキュリティの重点は役割ごとに少し異なります。この投稿の推奨事項は、サプライチェーンの消費者に焦点を当てています。もうひとつの投稿はプロデューサーに焦点を当ててます。
ほとんどの消費者組織のリーダーは、サプライチェーンが長大かつ複雑であることを知っているかもしれません。しかし、彼らはどれほど複雑かを理解していないかもしれません。
実際、重要なのはHVAC請負業者や他のベンダーのセキュリティだけではありません。また、組織がアプリケーションやその他のソフトウェアを利用したものを構築する際にインポートする可能性のある数十から数百または数千のコンポーネントのセキュリティでもあります。
サイバーセキュリティ研究者のAlex Birsanは、Mediumに最近投稿した「依存関係の混乱:Apple、Microsoft、およびその他の数十の企業にハッキングした方法(Dependency Confusion: How I Hacked Into Apple, Microsoft, and Dozens of Other Companies)」で、ソフトウェアアップデートの仕組みによってマルウェアが拡散した原因の詳細を深く掘り下げています。ソフトウェアをサードパーティやオープンソースのコンポーネントから組み立て、自ら構築していない世界ではソフトウェアを構成するコンポーネントは、サプライチェーンを指数関数的に拡大できる依存関係の軌跡を作成するのです。
また次のように述べています。
「これらのソースのいずれかからパッケージをダウンロードして使用する場合、基本的には、発行元が自分のマシンでコードを実行することを信頼しています。また、この『無条件の信託』は悪意のある攻撃者によって悪用される可能性があります。」
Black Duck Cybersecurity Research Centerの主任セキュリティストラテジストであるTim Mackeyも同じことを指摘しています。
「最新のソフトウェアは、商用のサードパーティプロバイダーのコードライブラリ、オープンソース・コンポーネント、およびクラウドAPIサービスで構成されています。これらの各要素は、一般にアプリケーションと呼ばれるものに流れ込む独立したコードストリームを表しています」
「このモデルの各ストリームには、独自のコードストリームを含めることができます。これらを組み合わせることで、最新のサービスのサプライチェーンが形成されます。そして、サプライチェーン内での侵害がサプライチェーン攻撃なのです。」
または、Paul Ducklinが、Sophos Naked Security ブログに次のように書いています。
「良くも悪くも、最新のパッケージ管理ツールは、必要なパッケージを自動的に識別、取得、ダウンロード、構成、インストールすることで、この依存関係の複雑さを隠すことができます。それに加えて、それらが依存するパッケージなどがあるわけです。」
「これは便利に聞こえますが、おそらくここでうまくいかない可能性のあることがたくさんあると思っているあなたは正しいのです」と彼は書いています。
「複雑な依存関係ツリーは複雑なパッケージサプライチェーンを意味し、複雑なサプライチェーンは攻撃対象領域が大幅に増加することを意味します。」
“消費者”の組織が最初にすべきことの1つは、使用しているものを追跡することです。 ソフトウェアの部品表を保守して使用しているものを追跡し、最新の状態に維持しているという信頼できる保証を手に入れるのです。
その方法については、非常に詳細なアドバイスといくつかの有用な情報源があります。
シノプシス ソフトウェア・インテグリティ・グループ(SIG)のクリティカル・システム・セキュリティの元ディレクターであり、現在はFarallon Technology Groupの研究担当副社長であるMike Ahmadiと、Schneider ElectricのCSO兼サイバーセキュリティ担当副社長であり、Zen Privataの創設者兼CEOであるGeorge Wrennは、効果的な調達のための言語条項を開発する方法について、2016年のポッドキャストで広範なアドバイスを提供しました。これは、”提供者”またはその他のサードパーティが提供するソフトウェアの品質、信頼性、そして何よりもセキュリティについての発言に対して契約上責任を負うように設計された”言語条項”です。
誰もが知っているように、基本的に人々が何かに署名するときには真剣に理解しようと努める傾向があるからです。
第2に、今日のソフトウェアが組み立てられていることはよく知られています(シノプシスが毎年発行するOpen Source Security and Risk Analysis (OSSRA) レポートで、何年にもわたって文書化されています)。調査したプロジェクトのコードのうち75%をオープンソースが占めているのです。
そのコードの内容を知らず、テストすらしていない組織は、サプライチェーン問題の解決策を求めています。 また、Ahmadiが指摘したように、自動化されたソフトウェア・コンポジション解析ツールは、手動よりも正確かつ迅速に解析してくれるのです。
Building Security In Maturity Model(BSIMM)は、業界内の他の組織が行っていることと機能していることを文書化することにより、組織がソフトウェア・セキュリティ・イニシアチブを成長および改善するのに役立つ年次報告書です。 そのレポートの作成者は、サードパーティが提供するソフトウェアに焦点を当てたBSIMMsc(以前はvBSIMMと呼ばれていました)も提供しています。
シノプシスの主任科学者でBSIMMの共著者であるSammy Miguesは、BSIMMscは「認証と自動化を活用することで、ソフトウェアサプライチェーンのリスク管理の基本的なセキュリティ管理策として機能する」と述べています。言い換えるなら、組織がセキュリティの弱いソフトウェアベンダーを回避するのに役立つということです。
シノプシスの主任コンサルタントであるMichael Fabianは、”消費者”が「国際標準化団体によって概説されたフレームワークに従って、リスクの発見と枠組み作りの演習を実施する」ことを推奨しています。
最後に、シノプシスのバリューチェーン・セキュリティのディレクターであるEmile Monetteは、NIST SP 800-161、ISO/IEC 20243-1、SAFECodeサードパーティのリスクプラクティス、East-West InstituteITバイヤーズガイドなどのソースからのサプライチェーン・ソフトウェア・セキュリティ・プラクティスのリストをまとめています。
これらのリソースを用いることで”消費者”はサプライチェーンの未知のリスクに備えることができます。サプライチェーンのリスクは、食べ物に仕込まれた毒のようであり、実在する脅威なのです。
残念ながら、ソフトウェアコンポーネントは、私たちの食料供給のように規制されていないため、製品やシステムの健全性を維持したい場合は、組織外で使用するすべてのものも健全であることを確認する必要があるのです。