定義

ソフトウェア・サプライチェーン・セキュリティには、サードパーティのコードやインタフェースを含め、作成または展開中のソフトウェア・コンポーネント、アクティビティ、プラクティスを保護することが含まれます。組織がサプライチェーンのセキュリティを確保し、消費者に証拠を提供する方法を探ります。

「単なる文書」で終わらせないSBOM 作成のための処方箋
SBOMの取り組みを検討する際に考慮すべき推奨事項

ソフトウェア・サプライ・チェーン攻撃がトレンドになっている理由

ソフトウェア開発チームがアプリケーションを保護するための対策を強化していることに対応して、攻撃者は独自の方法を考案する必要がありました。コードの再利用とクラウドネイティブ・アプローチの急増傾向が続いていることで、目的のターゲットから数段階離れた場所から間接的に攻撃を仕掛ける手段が増えています。脅威アクターがサプライ・チェーンを横断するためにたった1つの弱点を悪用して、機密データの盗難、マルウェアの植え付け、システムの制御の乗っ取りなどを試みることが可能になった例を最近多く見てきました。

セキュリティ侵害の増加傾向を踏まえて、バイデン大統領は、複数の連邦機関の長に対し、使用・運用するソフトウェアに関する追加のセキュリティ・ガイドラインを策定するよう指示する大統領令を発令しました。米国のサイバーセキュリティ・プロファイルを強化することを目的としたこの命令は、連邦レベルで指定された内容をはるかに超えて、全米で組織のセキュリティ・プラクティスの再検討を促しました。 


サプライ・チェーンのセキュリティ対策で考えるべき5つのこと

ソフトウェア・サプライ・チェーンの脆弱性を特定する方法、およびその対処に必要なツールと対策についての詳細はこちらをご覧ください。

ソリューションガイドをダウンロード

ソフトウェア・サプライ・チェーン攻撃の例

米国の大手IT企業であるSolar Windsは、最近サプライ・チェーン攻撃の被害に遭いました。元インターンによる脆弱な情報セキュリティ慣行により、重要な内部パスワード(solarwinds123)が漏えいしました。パスワードが侵害されるとすぐに、疑わしいロシアのハッカーがSolarWindsの主力製品の1つであるOrionのアップデートを構築するシステムにアクセスしました。攻撃者は、ここから悪意のあるコードを正当なソフトウェア・アップデートに挿入し、Orionのコンパイルに関与した実行中のプロセスを監視および特定して、SUNBURSTマルウェアを含めるようにソースファイルを書き換えることに成功しました。Orionのソフトウェア・アップデートは推定18,000の顧客の環境にデプロイされ、攻撃者はSUNBURSTによって返送された情報を利用してマルウェアの追加、アクセス権の拡張、スパイ行為のターゲットを特定しました。攻撃の標的と被害箇所がエントリー・ポイントから数段階離れていたという点で、これは最近のソフトウェア・サプライ・チェーン攻撃の典型的な例です。 


サプライ・チェーン・セキュリティのリスクを低減する方法

サプライ・チェーンのセキュリティ・リスクを低減するための主要な対策と方法を以下に示します。

  • 使用するコードのセキュリティと信頼性を評価する
  • 常にセキュアな独自開発コードを作成できるようにする
  • コードをセキュアな方法で構築・デプロイする
  • アプリケーションで使用されるデータ転送方法を強化する
  • デプロイされたアプリケーションの脅威を継続的にテストおよび監視する
  • コンシューマーにソフトウェア部品表(SBOM)を提供する

シノプシスの支援方法

シノプシスの Black Duck®ソフトウェア・コンポジション解析(SCA)は、アプリケーションやコンテナに含まれるオープンソースやサードパーティのコードからセキュリティ、品質、ライセンス・コンプライアンスのリスクを自動的に特定することで、ソフトウェアのサプライチェーンを完全に可視化します。Black Duckは、複数のスキャン技術を使用してオープンソースの依存関係を特定し、脆弱性、ライセンス・リスク、コンポーネントの健全性、マルウェアの検出に関する洞察と実用的なアラートにより、優先順位付けと修正ガイダンスを提供します。Black Duckは、インポートおよびエクスポート機能によってソフトウェア部品表(SBOM)管理を簡素化し、チームが顧客、業界、規制の要件に合わせ、SPDXやCycloneDx形式などのSBOM標準に準拠できるようにします。       

Coverity®は、開発チームとセキュリティ・チームがソフトウェア開発ライフサイクル(SDLC)の早い段階でセキュリティと品質の不具合に対処すること、アプリケーション・ポートフォリオ全体のリスクを追跡および管理すること、セキュリティおよびコーディング規約へのコンプライアンスを確保することを支援する、迅速かつ正確で拡張性の高い静的アプリケーション・セキュリティ・テスト(SAST)ソリューションです。Coverityを使用すると、独自開発のコードをシームレスに保護し、インフラストラクチャのコード化でセキュリティを保証できるため、独自開発のコードがソフトウェア・サプライ・チェーンの弱点にならないようにすることができます。

Continuous Dynamicにより、開発ニーズに合わせて最適化された動的アプリケーション・セキュリティ・テスト(DAST)を迅速かつ容易に実行できます。Continuous Dynamicは、Webアプリケーションのすべてのアクセス・ポイントをヘッドレス・ブラウザにより体系的にテストし、新しく作成されたフォームに入力されたデータでも、JavaScriptおよびAJAXリクエストを傍受して分析します。また、OWASP Top 10のWebアプリケーション・セキュリティ・リスク、およびその他の既知のセキュリティ上の弱点と脆弱性をチェックし、検出された問題を取り除く手順を説明します。アプリケーションの動作を監視することは、潜在的なサプライ・チェーンの脅威から身を守るための重要な方法です。 


ソフトウェア・サプライ・チェーンのリスク管理に役立つその他のリソース