2021年、米国政府は大統領令14028により、ソフトウェアサプライチェーンセキュリティのポリシーを強化しました。当大統領令は、国のサイバーセキュリティを強化するために、民間と政府の協力を強化する必要性を強調しました。そして、2024年は本ソフトウェアサプライチェーンセキュリティの規制が本格的に施行され、適用される重要な時点です。
したがって、ソフトウェア企業や開発者は、最新の規制に関する情報を把握しておくことが不可欠です。これらの規制は、主に連邦政府や機関と直接契約を結んでいる供給者を対象とします。しかし、直接契約を結んでいないソフトウェア企業や開発者も、現在の規制について知っておく必要があります。
今回の記事では、ソフトウェアサプライチェーンセキュリティの定義や仕組みを含めて、ソフトウェアサプライチェーンセキュリティ関する説明と開発者やソフトウェア企業が現在の規制に準拠するための最新のガイドラインを提供します。
ソフトウェアサプライチェーンセキュリティとは?
サプライチェーンから供給される物理的な製品は、一つの会社で独自生産する場合もありますが、コストや効率性などの理由で外部企業のパーツに依存することもあります。そして、物理的な製品と同様に、ソフトウェアの生産も同じプロセスを経ます。
ソフトウェア企業は内部で開発した要素に加えて、インフラ、ハードウェア、オペレーティングシステム(OS)、クラウドサービス、GitHubリポジトリ、コードベース、オープンソースプロジェクト及びその他のリソースなど、ソフトウェアを構成するために外部コンポーネントを調達する必要があります。よって、ソフトウェアサプライチェーンには、ソフトウェア開発のライフサイクル(SDLC)に関わるすべてのコンポーネントと貢献者が含まれます。
ソフトウェアコンポーネントの出所が多様であるため、ソフトウェアサプライチェーンは本質的にサイバー攻撃のリスクを伴います。これらのリスクには、脆弱性の公開、オープンソースの破損、サードパーティコンポーネントへの依存関係、コードの破損およびその他の潜在的なリスク要素が含まれています。そのため、ハッカーはソフトウェアサプライチェーンの脆弱性を攻撃の手段として悪用しようとするかもしれません。
多くの企業や組織がソフトウェアサプライチェーン攻撃の犠牲になっています。最も注目すべき例としては、2020年末のSolarWinds攻撃、2021年のKaseyaランサムウェア攻撃、2023年の3CXサプライチェーンに対する北朝鮮の攻撃などが挙げられます。
このような事例は、ソフトウェアサプライチェーン攻撃の氷山の一角に過ぎません。Atlassian Confluenceのゼロデイ脆弱性、Cisco IOS XEのゼロデイ脆弱性、ESXiArgsのランサムウェア攻撃など、企業や組織で広く使用されているプロプライエタリソフトウェアやオープンソースソフトウェアに関する事例は他にもたくさんあります。
上記のような避けられないリスクにより、ソフトウェア企業、オープンソース開発者および組織は、ソフトウェアサプライチェーンセキュリティの規制の目的を理解し、従う必要があります。
2024年開発者・ソフトウェア企業におけるソフトウェアサプライチェーンセキュリティのガイドライン
会社で供給する製品が政府で直接活用されていなくても、政府機関と契約したソフトウェア企業が使用するソフトウェアとしては統合される可能性があります。その際、製品がSSDFの要件を満たしていない場合は、サプライチェーンから外される可能性があります。
ソフトウェアサプライチェーン内に信頼を積み重ね、製品販売を続くためには、最新の規制を遵守する必要があります。以下は、米国の最新のソフトウェアサプライチェーンセキュリティ規制を最新の状態に保つためのガイドラインです。
1. 独自認証要件を満たすか、OMBの承認を取得する
ソフトウェアベンダーは、M-22-18に基づいて米国政府機関にソフトウェアを提供するために、SSDF NISTの厳格なセキュリティ基準を準拠する必要があります。一部のベンダーでは、SSDFを準拠するに困難な場合があるかもしれません。独自証明が不可能な場合、ソフトウェア企業はM-23-16の覚書に記載されているように、アクションプランとマイルストーン(POA&M)を独自証明の代わりに添付することができます。ただし、米国政府機関は自己証明の代わりにPOA&Mが添付されたソフトウェアを使用する場合、管理予算庁の承認を得なければなりません。
2.SBOMの最小要素を遵守する
ソフトウェア部品表(SBOM)は、ソフトウェアサプライチェーンセキュリティを強化するために欠かせないものであり、すべてのソフトウェアコンポーネント、ライブラリおよび依存関係を詳細に説明します。米国通信情報局(NTIA)は、SBOMの必須データ要素を簡潔に説明しています。NTIAが推奨するフォーマットでデータを入力することが重要です。NTIAは、SPDX、CycloneDX、SWIDタグを製品のリリース及びアップデートを容易にするための適合なフォーマットとして推奨しています。
3.脅威インテリジェンスを使用してサイバーセキュリティのリスクを把握する
Criminal IPは有用な脅威インテリジェンスを提供することで、ソフトウェアサプライチェーンの保護に重要な役割を果たし、インターネットに公開されている脆弱性を特定することができます。Criminal IPのIT資産検索を利用すると、ソフトウェアやソフトウェアと統合しようとするオープンソースの安全性をチェックすることができます。
例えば、Apache Struts 2でCVE-2023-50164として知られている深刻な脆弱性が発見されました。Criminal IPが当脆弱性を検出した結果、攻撃者はファイルをアップロードする際、パラメータを操作し、任意の経路にマルウェアをアップロードする深刻な脆弱性を悪用できることが判明されました。
4. ソフトウェアサプライチェーンセキュリティのための攻撃対象領域管理
ソフトウェアサプライチェーン攻撃は、企業のIT資産における脆弱なポートを介して検出されないまま侵入する場合が多いです。そのため、攻撃対象領域でIT資産とネットワークを保護することが重要です。
Criminal IPは、脅威インテリジェンスデータを提供するだけでなく、攻撃対象領域管理ソリューションにより、ソフトウェアサプライチェーン攻撃を防御するのに役立ちます。Criminal IP ASMは、企業や組織が所有するすべてのネットワーク資産を自動的に検出します。IT資産とネットワークに潜在的な脆弱性があるかどうかをモニタリングし、不正アクセス、データ漏洩、その他のセキュリティインシデントのリスクを大幅に低減します。
公開されたサイバー資産を検出して企業のIT資産とネットワークを保護するためにCriminal IP ASMがどのように活用されるかは、公開IT資産 の検知:Criminal IP ASM活用事例(2)の記事で確認いただけます。
Criminal IPの脅威インテリジェンスデータとCriminal IP ASMから得られるインサイトを活用することで、ソフトウェアサプライチェーンセキュリティ全体のサイバーレジリエンスを強化し、潜在的なサイバー脅威から保護することができます。Criminal IP ASMが貴社のIT資産とネットワークを保護する方法を確認し、「Criminal IP ASMのトライアルをお申し込む」でトライアルをお申し込みください。
