あなたの組織がソフトウェア・サプライチェーン・リスクに侵されないためのヒント

「最初に注意を引く」ためにラバの眉間を板切れで叩いて命令に従うようにした男の話は、ユーモアで深刻な話題に注目してもらうことの良い例です。しかし、注目してもらえるまで待つ必要があるとは言えません。

したがって、18,000を超える組織に影響を与えたSolarWinds / Orionサイバー攻撃から何か良いものが生まれた場合、それはサイバーサプライチェーンのリスクについての比喩的な”板切れ”として役立つ可能性があります。

専門家は、これらのリスクについて何年も、さらには何十年も警告してきました。物理的なチェーンと同じように、サプライチェーンはその最も弱いリンクと同じくらい強力です。したがって、サプライチェーン内のいずれかの組織（ベンダー、パートナー、請負業者）が安全でない場合、サプライチェーンを抱える組織も安全ではありません。

”コンシューマー”が知っておくべきサプライチェーンのセキュリティリスク

サイバーセキュリティ研究者のAlex Birsanは、Mediumに最近投稿した「依存関係の混乱：Apple、Microsoft、およびその他の数十の企業にハッキングした方法（Dependency Confusion: How I Hacked Into Apple, Microsoft, and Dozens of Other Companies）」で、ソフトウェアアップデートの仕組みによってマルウェアが拡散した原因の詳細を深く掘り下げています。ソフトウェアをサードパーティやオープンソースのコンポーネントから組み立て、自ら構築していない世界ではソフトウェアを構成するコンポーネントは、サプライチェーンを指数関数的に拡大できる依存関係の軌跡を作成するのです。

また次のように述べています。

「これらのソースのいずれかからパッケージをダウンロードして使用する場合、基本的には、発行元が自分のマシンでコードを実行することを信頼しています。また、この『無条件の信託』は悪意のある攻撃者によって悪用される可能性があります。」

Black Duck Cybersecurity Research Centerの主任セキュリティストラテジストであるTim Mackeyも同じことを指摘しています。

「最新のソフトウェアは、商用のサードパーティプロバイダーのコードライブラリ、オープンソース・コンポーネント、およびクラウドAPIサービスで構成されています。これらの各要素は、一般にアプリケーションと呼ばれるものに流れ込む独立したコードストリームを表しています」

「このモデルの各ストリームには、独自のコードストリームを含めることができます。これらを組み合わせることで、最新のサービスのサプライチェーンが形成されます。そして、サプライチェーン内での侵害がサプライチェーン攻撃なのです。」

または、Paul Ducklinが、Sophos Naked Security ブログに次のように書いています。

「良くも悪くも、最新のパッケージ管理ツールは、必要なパッケージを自動的に識別、取得、ダウンロード、構成、インストールすることで、この依存関係の複雑さを隠すことができます。それに加えて、それらが依存するパッケージなどがあるわけです。」

「これは便利に聞こえますが、おそらくここでうまくいかない可能性のあることがたくさんあると思っているあなたは正しいのです」と彼は書いています。

「複雑な依存関係ツリーは複雑なパッケージサプライチェーンを意味し、複雑なサプライチェーンは攻撃対象領域が大幅に増加することを意味します。」

“消費者”の組織が最初にすべきことの1つは、使用しているものを追跡することです。 ソフトウェアの部品表を保守して使用しているものを追跡し、最新の状態に維持しているという信頼できる保証を手に入れるのです。

その方法については、非常に詳細なアドバイスといくつかの有用な情報源があります。
 

提供者に責任を負わせる

シノプシス ソフトウェア・インテグリティ・グループ（SIG）のクリティカル・システム・セキュリティの元ディレクターであり、現在はFarallon Technology Groupの研究担当副社長であるMike Ahmadiと、Schneider ElectricのCSO兼サイバーセキュリティ担当副社長であり、Zen Privataの創設者兼CEOであるGeorge Wrennは、効果的な調達のための言語条項を開発する方法について、2016年のポッドキャストで広範なアドバイスを提供しました。これは、”提供者”またはその他のサードパーティが提供するソフトウェアの品質、信頼性、そして何よりもセキュリティについての発言に対して契約上責任を負うように設計された”言語条項”です。

誰もが知っているように、基本的に人々が何かに署名するときには真剣に理解しようと努める傾向があるからです。
 

オープンソースを自動化されたセキュリティ・テストツールで管理する

第2に、今日のソフトウェアが組み立てられていることはよく知られています（シノプシスが毎年発行するOpen Source Security and Risk Analysis (OSSRA) レポートで、何年にもわたって文書化されています）。調査したプロジェクトのコードのうち75％をオープンソースが占めているのです。

そのコードの内容を知らず、テストすらしていない組織は、サプライチェーン問題の解決策を求めています。 また、Ahmadiが指摘したように、自動化されたソフトウェア・コンポジション解析ツールは、手動よりも正確かつ迅速に解析してくれるのです。
 

他の人が何をしているか知ることで、何がうまくいくかを学ぶ

Building Security In Maturity Model（BSIMM）は、業界内の他の組織が行っていることと機能していることを文書化することにより、組織がソフトウェア・セキュリティ・イニシアチブを成長および改善するのに役立つ年次報告書です。 そのレポートの作成者は、サードパーティが提供するソフトウェアに焦点を当てたBSIMMsc（以前はvBSIMMと呼ばれていました）も提供しています。

シノプシスの主任科学者でBSIMMの共著者であるSammy Miguesは、BSIMMscは「認証と自動化を活用することで、ソフトウェアサプライチェーンのリスク管理の基本的なセキュリティ管理策として機能する」と述べています。言い換えるなら、組織がセキュリティの弱いソフトウェアベンダーを回避するのに役立つということです。

シノプシスの主任コンサルタントであるMichael Fabianは、”消費者”が「国際標準化団体によって概説されたフレームワークに従って、リスクの発見と枠組み作りの演習を実施する」ことを推奨しています。