ソフトウェアベンダーは、あなたと同じようにセキュリティに気を配っているのでしょうか?
この記事はSecurity Magazineに掲載されたものです。この記事は更新され、ここにシンジケートされています。
セキュリティの専門家にとって、12月13日は何か特別な日です。SQLインジェクションを永久に撲滅した日でしょうか?もちろん、そんなことはありません。もしかしたら、「国際セキュリティ従事者感謝の日」なのでしょうか?それも違う。この日は、FireEyeとMandiantが、SolarWindsとして知られることになる、これまで知られていなかった世界的な侵入キャンペーンに関する衝撃的なレポートを発表した日なのです。この報告書には、SolarWind社の人気管理ソフトウェア「Orion」のソフトウェア・アップデートの奥深くに悪質なコードが隠されているという、ほとんど信じられないような継続的攻撃が詳述されています。
18,000人以上のSolarWindsの顧客が、すでに破損したアップデートをダウンロードしていたのです。その多くは、組織やネットワーク内の他の何百ものソフトウェア・アップデートに行ったのと同様に、自動的にダウンロードを行いました。攻撃者は、SolarWindsの侵入によってアクセス権を得た後、攻撃対象を高度に選択しました。多くの大手企業や政府機関がデータを盗まれ、ネットワークを侵害されました。特に政府機関の場合、被害の全容が公表されていないため、史上最大級の、そしておそらく最もコストのかかる情報漏えい事件となりました。
このような事態を引き起こしたのは、人々がソフトウェアのサプライチェーン内のベンダーの活動を適切に検証・審査することなく信頼してしまったからです。
サプライチェーン・セキュリティへの大転換
警報が発せられると、企業、組織、政府機関はすぐに対応しました。SolarWindsの侵害はもちろん阻止されましたが、この攻撃は規制も監視もされていないソフトウェアのサプライチェーンの危険性をも露呈しました。SolarWindsの事件は発覚後すぐに解決されましたが、サプライチェーンが攻撃のベクトルとしてどのように利用されたかという点については、現在も進行中です。この攻撃は、サイバーセキュリティの重要かつ見過ごされていた側面にスポットライトを当てただけで、他に良いことは何もありません。
SolarWinds社の攻撃への対応として最も注目されたのが、バイデン大統領による「国家のサイバーセキュリティの改善に関する大統領令」です。この命令は、米国でこれまでに出されたサイバーセキュリティに関する指令の中で最も包括的なものの1つです。この指令は、政府機関および政府と取引する企業に対してサイバーセキュリティの向上を要求し、ゼロトラストネットワーキングのような高度な保護を提唱し、ソフトウェアのサプライチェーンのセキュリティの必要性を強調するものです。
EOは政府に特化したものですが、他の団体もSolarWindsのような攻撃を再び起こさないために、サプライチェーンのセキュリティの重要性を強調しはじめました。例えば、パロアルトは最近、"Secure the Software Supply Chain to Secure the Cloud "と題したUnit 42 Cloud Threat Reportを発表しています。このレポートでは、ソフトウェアのサプライ・チェーンのセキュリティなくして、クラウドの展開が完全に安全であるとは言えないと述べています。また、Cloud Native Computing Foundationもこれに同意し、SolarWindsの影響を受けて遵守すべき重要なソフトウェア・サプライチェーンのベストプラクティスを詳述したホワイトペーパーを発表しています。
ここ数年のサイバーセキュリティ標準の変革は、すべての組織にとって、義務ではないが、これに倣い、ベンダーのセキュリティ慣行を自社の内部セキュリティ・プログラムの一部であるかのように精査することが目標になるはずだ。CISAの新しい戦略計画のようなイニシアチブは、セキュリティを共有責任としてアプローチすることが、すべてのソフトウェア作成者、特に重要なインフラストラクチャやソフトウェアサプライチェーンに関与する者にとって、新しい標準の一部を形成しつつあることを示すさらなる証拠となる。
ソフトウェア・サプライチェーンを改善するために、企業は何ができるのか?
このような状況を受けて、多くのベンダーは、自社のサプライチェーンを保護するために何ができるかを当然ながら求めています。ベンダーが自社と同じようにサイバーセキュリティに配慮するために、組織は何をすればよいのでしょうか。
EOは、ソフトウェア開発者の影響について具体的に説明し、検証されたセキュリティスキルと意識の必要性について述べています。この分野は、重要なセキュリティスキルによる人主導の防御に焦点を当てるのではなく、ツールにこだわる業界の中で忘れられがちな分野です。
最近のサイバーセキュリティに対する包括的なアプローチには、詳細なサードパーティリスク(assessment )が絶対に含まれていなければならないことが明らかになっています。このリスクには、実施されている技術的セキュリティコントロールと、パートナーが自らの組織内でガバナンス、リスク、コンプライアンスをどう捉えているかということが含まれています(assessment )。
すべてのサードパーティの評価には、ソフトウェアのサプライチェーンに属する者が、検証された証明書署名付きの安全なプログラム更新をリリースする計画、およびすべてのソフトウェアとデバイスのID管理にどのように役立つかという保証と詳細な計画が含まれている必要があります。また、自社製品の暗号化アップグレードとアップデートのための明確な道筋を示す必要があります。
また、開発者がソフトウェアサプライチェーンセキュリティの重要な構成要素であるとようやく見なされるようになった今、assessment 、開発コミュニティ内で安全なコーディングと継続的な改善をどのように奨励しているかを詳細に示すレポートも含める必要があります。理想的には、開発者のスキルと現在のトレーニングのベンチマークを実施することです。開発者のスキルアップが重視されつつあることは承知していますが、開発者の48%が脆弱なコードを故意に出荷していることを認めています。
時間的な制約や、彼らの世界ではセキュリティが最優先事項ではない(成功の尺度でもない)という現実などの要因が、コードレベルの脆弱性が早期に対処されない環境を生み出しているのです。ソフトウェアのサプライチェーンへの感染を防ぐには、すべての 組織が開発者向けのセキュリティプログラムに取り組む必要があります。
次のステップは?
リスク評価は非常に重要である。なぜなら、セキュリティ上の問題を抱えるベンダーのソフトウェアを使用した場合、その問題を自社のエコシステムに引き継ぎ、結果を負担することになるからである。しかし、企業は、ベンダーの方が実際に安全である可能性があり、開発者コミュニティのサポートに優れている可能性さえあることを認識する必要があります。
サードパーティのリスクassessment は、自社のセキュリティを評価する二次的な方法として利用することができる。あるベンダが社内のセキュリティ対策より優れている場合、その方法を採用することで、自組織を改善することができる。
最後に、ソフトウェアサプライチェーンを本当に改善するための次の大きなステップは、開発者向けのセキュアコーディング認証を実施することです。良い計画を立てることが最初のステップですが、その計画が実際に守られ、安全なコードの生成に役立っているかどうかを検証することも必要です。
開発者がセキュアなコーディングを行えるようにすることが当たり前になるまで、私たちは常に、脅威行為者が侵入する前に機会の窓を閉じることに遅れをとるでしょう。しかし、適切なサポートによってポジティブな影響を与えるのに遅すぎるということはありません。アジャイル学習の力で、開発者が適切でインパクトの大きいセキュリティスキルを磨く方法を今すぐご覧ください。
マティアス・マドゥ博士
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
ソフトウェアベンダーは、あなたと同じようにセキュリティに気を配っているのでしょうか?
この記事はSecurity Magazineに掲載されたものです。この記事は更新され、ここにシンジケートされています。
セキュリティの専門家にとって、12月13日は何か特別な日です。SQLインジェクションを永久に撲滅した日でしょうか?もちろん、そんなことはありません。もしかしたら、「国際セキュリティ従事者感謝の日」なのでしょうか?それも違う。この日は、FireEyeとMandiantが、SolarWindsとして知られることになる、これまで知られていなかった世界的な侵入キャンペーンに関する衝撃的なレポートを発表した日なのです。この報告書には、SolarWind社の人気管理ソフトウェア「Orion」のソフトウェア・アップデートの奥深くに悪質なコードが隠されているという、ほとんど信じられないような継続的攻撃が詳述されています。
18,000人以上のSolarWindsの顧客が、すでに破損したアップデートをダウンロードしていたのです。その多くは、組織やネットワーク内の他の何百ものソフトウェア・アップデートに行ったのと同様に、自動的にダウンロードを行いました。攻撃者は、SolarWindsの侵入によってアクセス権を得た後、攻撃対象を高度に選択しました。多くの大手企業や政府機関がデータを盗まれ、ネットワークを侵害されました。特に政府機関の場合、被害の全容が公表されていないため、史上最大級の、そしておそらく最もコストのかかる情報漏えい事件となりました。
このような事態を引き起こしたのは、人々がソフトウェアのサプライチェーン内のベンダーの活動を適切に検証・審査することなく信頼してしまったからです。
サプライチェーン・セキュリティへの大転換
警報が発せられると、企業、組織、政府機関はすぐに対応しました。SolarWindsの侵害はもちろん阻止されましたが、この攻撃は規制も監視もされていないソフトウェアのサプライチェーンの危険性をも露呈しました。SolarWindsの事件は発覚後すぐに解決されましたが、サプライチェーンが攻撃のベクトルとしてどのように利用されたかという点については、現在も進行中です。この攻撃は、サイバーセキュリティの重要かつ見過ごされていた側面にスポットライトを当てただけで、他に良いことは何もありません。
SolarWinds社の攻撃への対応として最も注目されたのが、バイデン大統領による「国家のサイバーセキュリティの改善に関する大統領令」です。この命令は、米国でこれまでに出されたサイバーセキュリティに関する指令の中で最も包括的なものの1つです。この指令は、政府機関および政府と取引する企業に対してサイバーセキュリティの向上を要求し、ゼロトラストネットワーキングのような高度な保護を提唱し、ソフトウェアのサプライチェーンのセキュリティの必要性を強調するものです。
EOは政府に特化したものですが、他の団体もSolarWindsのような攻撃を再び起こさないために、サプライチェーンのセキュリティの重要性を強調しはじめました。例えば、パロアルトは最近、"Secure the Software Supply Chain to Secure the Cloud "と題したUnit 42 Cloud Threat Reportを発表しています。このレポートでは、ソフトウェアのサプライ・チェーンのセキュリティなくして、クラウドの展開が完全に安全であるとは言えないと述べています。また、Cloud Native Computing Foundationもこれに同意し、SolarWindsの影響を受けて遵守すべき重要なソフトウェア・サプライチェーンのベストプラクティスを詳述したホワイトペーパーを発表しています。
ここ数年のサイバーセキュリティ標準の変革は、すべての組織にとって、義務ではないが、これに倣い、ベンダーのセキュリティ慣行を自社の内部セキュリティ・プログラムの一部であるかのように精査することが目標になるはずだ。CISAの新しい戦略計画のようなイニシアチブは、セキュリティを共有責任としてアプローチすることが、すべてのソフトウェア作成者、特に重要なインフラストラクチャやソフトウェアサプライチェーンに関与する者にとって、新しい標準の一部を形成しつつあることを示すさらなる証拠となる。
ソフトウェア・サプライチェーンを改善するために、企業は何ができるのか?
このような状況を受けて、多くのベンダーは、自社のサプライチェーンを保護するために何ができるかを当然ながら求めています。ベンダーが自社と同じようにサイバーセキュリティに配慮するために、組織は何をすればよいのでしょうか。
EOは、ソフトウェア開発者の影響について具体的に説明し、検証されたセキュリティスキルと意識の必要性について述べています。この分野は、重要なセキュリティスキルによる人主導の防御に焦点を当てるのではなく、ツールにこだわる業界の中で忘れられがちな分野です。
最近のサイバーセキュリティに対する包括的なアプローチには、詳細なサードパーティリスク(assessment )が絶対に含まれていなければならないことが明らかになっています。このリスクには、実施されている技術的セキュリティコントロールと、パートナーが自らの組織内でガバナンス、リスク、コンプライアンスをどう捉えているかということが含まれています(assessment )。
すべてのサードパーティの評価には、ソフトウェアのサプライチェーンに属する者が、検証された証明書署名付きの安全なプログラム更新をリリースする計画、およびすべてのソフトウェアとデバイスのID管理にどのように役立つかという保証と詳細な計画が含まれている必要があります。また、自社製品の暗号化アップグレードとアップデートのための明確な道筋を示す必要があります。
また、開発者がソフトウェアサプライチェーンセキュリティの重要な構成要素であるとようやく見なされるようになった今、assessment 、開発コミュニティ内で安全なコーディングと継続的な改善をどのように奨励しているかを詳細に示すレポートも含める必要があります。理想的には、開発者のスキルと現在のトレーニングのベンチマークを実施することです。開発者のスキルアップが重視されつつあることは承知していますが、開発者の48%が脆弱なコードを故意に出荷していることを認めています。
時間的な制約や、彼らの世界ではセキュリティが最優先事項ではない(成功の尺度でもない)という現実などの要因が、コードレベルの脆弱性が早期に対処されない環境を生み出しているのです。ソフトウェアのサプライチェーンへの感染を防ぐには、すべての 組織が開発者向けのセキュリティプログラムに取り組む必要があります。
次のステップは?
リスク評価は非常に重要である。なぜなら、セキュリティ上の問題を抱えるベンダーのソフトウェアを使用した場合、その問題を自社のエコシステムに引き継ぎ、結果を負担することになるからである。しかし、企業は、ベンダーの方が実際に安全である可能性があり、開発者コミュニティのサポートに優れている可能性さえあることを認識する必要があります。
サードパーティのリスクassessment は、自社のセキュリティを評価する二次的な方法として利用することができる。あるベンダが社内のセキュリティ対策より優れている場合、その方法を採用することで、自組織を改善することができる。
最後に、ソフトウェアサプライチェーンを本当に改善するための次の大きなステップは、開発者向けのセキュアコーディング認証を実施することです。良い計画を立てることが最初のステップですが、その計画が実際に守られ、安全なコードの生成に役立っているかどうかを検証することも必要です。
開発者がセキュアなコーディングを行えるようにすることが当たり前になるまで、私たちは常に、脅威行為者が侵入する前に機会の窓を閉じることに遅れをとるでしょう。しかし、適切なサポートによってポジティブな影響を与えるのに遅すぎるということはありません。アジャイル学習の力で、開発者が適切でインパクトの大きいセキュリティスキルを磨く方法を今すぐご覧ください。
