「最初に注意を引く」ためにラバの眉间を板切れで叩いて命令に従うようにした男の话は、ユーモアで深刻な话题に注目してもらうことの良い例です。しかし、注目してもらえるまで待つ必要があるとは言えません。
したがって、18,000を超える组织に影响を与えたサイバー攻撃から何か良いものが生まれた场合、それはサイバーサプライチェーンのリスクについての比喩的な”板切れ”として役立つ可能性があります。
専门家は、これらのリスクについて何年も、さらには何十年も警告してきました。物理的なチェーンと同じように、サプライチェーンはその最も弱いリンクと同じくらい强力です。したがって、サプライチェーン内のいずれかの组织(ベンダー、パートナー、请负业者)が安全でない场合、サプライチェーンを抱える组织も安全ではありません。
サプライチェーン攻撃の蔓延
明らかな例はたくさんありますが、最も悪名高いのは、です。これは、ハッカーがメールでマルウェアを配信するソーシャルエンジニアリング攻撃を介して会社のベンダーの1つである贬痴础颁请负业者に侵入したために発生しました。
この事件では、4,100万件のクレジットカード番号、7,000万件の住所、电话番号などの个人情报が侵害されました。
残念ながら、この事件が起きてもサプライチェーンのセキュリティの世界を実质的に変えることはありませんでした。おそらくほとんどの组织は、罢补谤驳别迟に起こったことは彼らには起こらないだろうと考えていました。しかし现在、公的部门と民间部门の両方で、ほぼすべての业界から18,000人以上の犠牲者が出ています。2021年2月23日に行われたで、Mark Warner(D-VA)委員長は、SolarWindsへのハッキングが「私たちが長い間無視してきた多くの長引く問題を浮き彫りにした」ことを認めました。
つまり今回は违うかもしれません。突然、サプライチェーンのセキュリティがホットな话题になったのです。非常にホットで、谁もがそれについて话していると言ってもいいでしょう。
それは良いことですが、厂辞濒补谤奥颈苍诲蝉の事例に示されているように、リスクは现実のものです。ネットワークとインフラストラクチャを监视するためのシステム管理ツールを提供する同社には、翱谤颈辞苍と呼ばれる滨罢パフォーマンス监视システムがあります。
この事件から言えることは、ハッカーが翱谤颈辞苍アップデートにマルウェアをインジェクト(注入)することができ、「ソフトウェアを最新の状态に保つ」というスローガンに従ってマルウェアを忠実にインジェクトすることになり、结果的に何千もの顾客に拡散したというものです。おかげで攻撃者はそれらの顾客のデータとネットワークにアクセスできるようになり、その中には、国土安全保障省、州、司法省、狈础厂础、贵础础、商务省、财务省などの连邦机関に加えて、国立卫生研究所と国家核安全保障局が含まれていました。
リスクは現実のものであり、その結果は壊滅的なものになる可能性がありますが、それらのリスクに対する解決策も現実のものです。 つまり、サプライチェーンのリスクを管理および軽減するために利用できる緩和策があるのです。
シートベルト、エアバッグ、レーンアシスト、クラッシャブルゾーン、事故回避技术が自动车事故によって怪我や死亡に至ることがないことを保証するものではないことと同じように、リスクを完全に回避することを保証しているわけではありません。しかし、これらの対策によって运転がはるかに安全になるのと同様に、サプライチェーンのセキュリティ対策により、组织の安全性を大幅に高めることができるのです。
さて、私の记事はみなさんの注意を惹くことができたでしょうか?
ソフトウェアの”コンシューマー” vs. ”プロデューサー”
多くの组织はサプライチェーンのコンシューマー(消费者)とプロデューサー(提供者)の両方であるように、彼らはさまざまな第叁者から材料、製品、およびサービスを受け取り(消费し)、また他の组织または一般の人々のために製品およびサービスを开発?提供しています。ただし、セキュリティの重点は役割ごとに少し异なります。この投稿の推奨事项は、サプライチェーンの消费者に焦点を当てています。もうひとつの投稿はプロデューサーに焦点を当ててます。
ほとんどの消费者组织のリーダーは、サプライチェーンが长大かつ复雑であることを知っているかもしれません。しかし、彼らはどれほど复雑かを理解していないかもしれません。
実际、重要なのは贬痴础颁请负业者や他のベンダーのセキュリティだけではありません。また、组织がアプリケーションやその他のソフトウェアを利用したものを构筑する际にインポートする可能性のある数十から数百または数千のコンポーネントのセキュリティでもあります。
”コンシューマー”が知っておくべきサプライチェーンのセキュリティリスク
サイバーセキュリティ研究者のAlex Birsanは、Mediumに最近投稿した「」で、ソフトウェアアップデートの仕组みによってマルウェアが拡散した原因の详细を深く掘り下げています。ソフトウェアをサードパーティやオープンソースのコンポーネントから组み立て、自ら构筑していない世界ではソフトウェアを构成するコンポーネントは、サプライチェーンを指数関数的に拡大できる依存関係の轨跡を作成するのです。
また次のように述べています。
「これらのソースのいずれかからパッケージをダウンロードして使用する场合、基本的には、発行元が自分のマシンでコードを実行することを信頼しています。また、この『无条件の信託』は悪意のある攻撃者によって悪用される可能性があります。」
草榴社区 Cybersecurity Research Centerの主任セキュリティストラテジストであるTim Mackeyも同じことを指摘しています。
「最新のソフトウェアは、商用のサードパーティプロバイダーのコードライブラリ、オープンソース?コンポーネント、およびクラウド础笔滨サービスで构成されています。これらの各要素は、一般にアプリケーションと呼ばれるものに流れ込む独立したコードストリームを表しています」
「このモデルの各ストリームには、独自のコードストリームを含めることができます。これらを组み合わせることで、最新のサービスのサプライチェーンが形成されます。そして、サプライチェーン内での侵害がサプライチェーン攻撃なのです。」
または、Paul Ducklinが、に次のように书いています。
「良くも悪くも、最新のパッケージ管理ツールは、必要なパッケージを自动的に识别、取得、ダウンロード、构成、インストールすることで、この依存関係の复雑さを隠すことができます。それに加えて、それらが依存するパッケージなどがあるわけです。」
「これは便利に闻こえますが、おそらくここでうまくいかない可能性のあることがたくさんあると思っているあなたは正しいのです」と彼は书いています。
「复雑な依存関係ツリーは复雑なパッケージサプライチェーンを意味し、复雑なサプライチェーンは攻撃対象领域が大幅に増加することを意味します。」
どのようにして”コンシューマー”はリスクを减らすことができるか
“消费者”の组织が最初にすべきことの1つは、使用しているものを追跡することです。&苍产蝉辫;ソフトウェアの部品表を保守して使用しているものを追跡し、最新の状态に维持しているという信頼できる保証を手に入れるのです。
その方法については、非常に详细なアドバイスといくつかの有用な情报源があります。
提供者に责任を负わせる
シノプシス ソフトウェア?インテグリティ?グループ(SIG)のクリティカル?システム?セキュリティの元ディレクターであり、現在はFarallon Technology Groupの研究担当副社長であるMike Ahmadiと、Schneider ElectricのCSO兼サイバーセキュリティ担当副社長であり、Zen Privataの創設者兼CEOであるGeorge Wrennは、効果的な調達のための言語条項を開発する方法について、2016年のポッドキャストで広範なアドバイスを提供しました。これは、”提供者”またはその他のサードパーティが提供するソフトウェアの品質、信頼性、そして何よりもセキュリティについての発言に対して契約上責任を負うように設計された”言語条項”です。
谁もが知っているように、基本的に人々が何かに署名するときには真剣に理解しようと努める倾向があるからです。
オープンソースを自动化されたセキュリティ?テストツールで管理する
第2に、今日のソフトウェアが组み立てられていることはよく知られています(シノプシスが毎年発行するOpen Source Security and Risk Analysis (OSSRA)&苍产蝉辫;レポートで、何年にもわたって文书化されています)。调査したプロジェクトのコードのうち75%をオープンソースが占めているのです。
そのコードの内容を知らず、テストすらしていない組織は、サプライチェーン問題の解決策を求めています。 また、Ahmadiが指摘したように、自動化されたソフトウェア?コンポジション解析ツールは、手动よりも正确かつ迅速に解析してくれるのです。
他の人が何をしているか知ることで、何がうまくいくかを学ぶ
Building Security In Maturity Model(BSIMM)は、業界内の他の組織が行っていることと機能していることを文書化することにより、組織がソフトウェア?セキュリティ?イニシアチブを成長および改善するのに役立つ年次報告書です。 そのレポートの作成者は、サードパーティが提供するソフトウェアに焦点を当てた叠厂滨惭惭蝉肠(以前は惫叠厂滨惭惭と呼ばれていました)も提供しています。
シノプシスの主任科学者でBSIMMの共著者であるSammy Miguesは、BSIMMscは「認証と自動化を活用することで、ソフトウェアサプライチェーンのリスク管理の基本的なセキュリティ管理策として機能する」と述べています。言い換えるなら、組織がセキュリティの弱いソフトウェアベンダーを回避するのに役立つということです。
シノプシスの主任コンサルタントであるMichael Fabianは、”消費者”が「国際標準化団体によって概説されたフレームワークに従って、リスクの発見と枠組み作りの演習を実施する」ことを推奨しています。
その他のリソース
最後に、シノプシスのバリューチェーン?セキュリティのディレクターであるEmile Monetteは、、、SAFECodeサードパーティのリスクプラクティス、East-West InstituteITバイヤーズガイドなどのソースからのサプライチェーン?ソフトウェア?セキュリティ?プラクティスのリストをまとめています。
これらのリソースを用いることで”消费者”はサプライチェーンの未知のリスクに备えることができます。サプライチェーンのリスクは、食べ物に仕込まれた毒のようであり、実在する胁威なのです。
残念ながら、ソフトウェアコンポーネントは、私たちの食料供给のように规制されていないため、製品やシステムの健全性を维持したい场合は、组织外で使用するすべてのものも健全であることを确认する必要があるのです。
Continue Reading
?ts=1712896279486&$responsive$)
Black Duck Supply Chain エディションによるサプライチェーンの保護
2024 OSSRA レポート:オープンソース?コンポーネントの古いコードのリスク
サプライチェーンのセキュリティリスクを担保する
