サプライ・チェーンのリスク管理のための効果的なソフトウェア・セキュリティ・アクティビティ

ソフトウェア部品表のアクティビティは増加傾向

BSIMM12によると、ソフトウェア部品表のアクティビティは過去2年間で367%増加しました。データを見ると、ソフトウェア部品表（SBOM）の作成、ソフトウェアの構築/構成/デプロイ方法の理解、セキュリティ・テレメトリに基づく組織の再配置能力の向上など、ソフトウェアのインベントリに焦点を当てた機能が増加していることがわかります。多くの組織が包括的な最新のソフトウェア部品表の必要性を強く認識するようになったことは明らかです。ソフトウェア部品表のアクティビティ以外に、12以上のサプライ・チェーン・セキュリティ・アクティビティが増加しています。

今すぐ取り組むべきサプライ・チェーンのリスク管理対策

世界に向けてソフトウェア・サプライ・チェーンのセキュリティを強化するための指令が出されていますが、その定義はまだ初期段階にあります。今後数か月から数年で多くの何かについて決定が下されることになるでしょう。唯一確かなことは、変化が起きているということです。私たちはソフトウェア・セキュリティ・コミュニティの一員として、その変化に応じてロードマップとセキュリティ対策を適応させる準備をする必要があります。しかし、サプライ・チェーン攻撃に対抗するために今すぐ実行できる対策もあります。

NISTが概要を示した包括的なC-SCRMプログラムを実装するための4つの必須コンポーネントがあります。

• サプライ・チェーン・リスク管理のロードマップ：ソフトウェア・サプライ・チェーンの変革の第一歩は、目的とするセキュリティ状態に到達するための計画を策定することです。これにはソフトウェア・サプライ・チェーンに関わる人、プロセス、テクノロジーの評価が含まれます。この評価は、サプライ・チェーンのセキュリティに関する経験と「斬新な視点」を活かして、サプライ・チェーンのリスクを軽減するための複数年にわたる戦略を評価し、策定することができる第三者の専門家が行うのが理想的です。
• ソフトウェア・コンポジション解析（SCA）：SCAとバイナリ解析は、サプライ・チェーン・リスク管理ソリューションの中心となる要素です。しかし、すべてのSCA製品が同等なわけではありません。包括的なSCAソリューションでは以下の機能を活用します。

• • オープンソース検出の自動化：宣言された依存関係だけにとどまらず、すべてのオープンソースの検出とインベントリ全体をとりまとめることが可能
  • セキュリティおよびコンプライアンスに関する詳細なレポートとコンポーネントの品質に関する定期的な情報：堅固なオープンソース・コミュニティが積極的に保守している高品質のコンポーネントを常に使用可能
  • オープンソースのガバナンスを自動化：開発チームや運用チームからの限られた入力情報とアクションを用い、独自のリスク許容度に合わせてオープンソースのガバナンスを自動化

オープンソース・コンポーネントのバイナリ、実行可能ファイル、ライブラリ（特に、信頼できるマニフェスト以外の場合）を分析することも重要です。これには以下の機能を含む必要があります。

• • Dockerファイルなどのマニフェストで公開されているもの以外のオープンソース・コンポーネントのバイナリ・コンテナ・イメージを検査する方法
  • 既知および未知の脆弱性を含むセキュリティ上の問題を発見するためのアプリケーションとコンテナの解析
• 悪意のあるコードの検出：システムに悪意のあるコードが存在しないと確信できますか？ 悪意のあるコードは活性化されるまで数か月または数年にわたって休止状態になっている可能性があります。この種のコードはソフトウェアに潜んでいる可能性があり、通常、従来のスキャン・ツールでは検出が困難です。セキュリティの専門家は、集中的な手動スキャンと自動検出を組み合わせて製品バイナリ、構成、データ内の疑わしい構造を発見し、悪意のあるコードに対処して脆弱性を修正するための適切な方法に関するアドバイスを提供します。
• クラウドおよびコンテナのセキュリティ：BSIMM12は、過去2年間でクラウドとコンテナのセキュリティに関連するアクティビティの観測が大幅に増加したことを示しています。調査によると、組織はクラウド・セキュリティの管理と責任共有モデルの評価に独自の機能を開発するようになりました。インフラストラクチャのセキュリティ対策としては、次の手順が推奨されます。
  • クラウド/コンテナ戦略を定義し、ロードマップを作成する：効率的なクラウド・セキュリティ・プログラムをサポートするために企業が導入すべき戦略、機能、活動を明確にします。それには、実績あるクラウド・セキュリティ参照アーキテクチャと成熟度評価フレームワークを利用して、現在のクラウド導入状態を可視化し、将来実現可能な状態を定義する必要があります。
  • アーキテクチャ・リスク評価を実施して潜在的なアタックサーフェスを調査し、セキュリティ制御が不十分な箇所を特定し、改善方法について専門家からアドバイスを受ける：リスク評価では、ビジネス・リスクにつながる可能性がある技術的リスクを特定し、発生の可能性に基づいてリスクの優先順位を付け、緩和策を規定します。
  • 移行の前後で評価を行ってクラウド移行のセキュリティを確保する：これには、ベースライン・セキュリティコントロールを装備したセキュアなリファレンス実装を用いたクラウド・アプリケーションの構築とデプロイ、および静的アプリケーション・セキュリティ・テスト、ソフトウェアコンポジション解析、動的解析が含まれます。
  • コンテナのセキュリティを強化する：徹底した脆弱性評価、ペネトレーション・テスト、アーキテクチャ・リスク/脅威モデリングを行い、DevSecOpsを考慮して、クラウド・コンテナのリスクを特定・軽減します。
  • クラウドを最適化および管理する：これには、クラウド・セキュリティ体制管理の定期的なヘルスチェックによる構成、ポリシー、コントロール、統合の検査が含まれます。また、必要に応じてアラートやインシデントの修正、調査、対応を含めます。
  • 脅威状態を改善し、ギャップに対処するための行動を優先順位付けして実装する。

サプライ・チェーンのセキュリティはSDLCの終盤のテストです。脆弱なSDLCでは、サプライ・チェーンにセキュリティを組み込むことはできません。SDLCのセキュリティが強固でなければ、SBOMの情報や、脆弱性、バグ、コードやソフトウェア・システム設計の欠陥などのデータがお客様に曝露してしまいます。行政命令やサプライ・チェーンに関するその他のセキュリティ指令により、DevSecOpsのアクティビティに弾みがついてセキュリティ文化がSDLCとサプライ・チェーン全体に浸透し、受容されていく可能性があります。

適切なソリューションの実装に必要な専門知識と経験を持つ適切な人材を見つけ、適切なリスク管理ポリシーを設定、管理、実施することは、特に現在のようなセキュリティ・リソース不足に直面している状況にあっては、困難になる可能性があります。シノプシスは、市場をリードするSCAソリューションであるBlack Duck®と、サプライ・チェーン・セキュリティに関する長年の経験を持つ多数のセキュリティ・サービス・コンサルタントを擁しています。