政府のサプライチェーン・パイプラインに潜むサイバー脆弱性のベールを剥ぐ
この記事の一部分は TechCrunch.この記事は、TechCrunchに掲載されたものを更新し、こちらにも掲載されています。
名前の付けられない年」に十分な混乱がなかったかのように、2021年は米国政府にとって耳をつんざくような衝撃的なスタートを切りました。SolarWinds社の事件は、壊滅的で洗練された国家レベルの攻撃であり、いくつかの政府省庁や大規模組織をパニックに陥れ、エンドポイントのセキュリティ確保に奔走させました。この事件により、ソフトウェアのサプライチェーンにおけるサイバーセキュリティと防御が非常に重要であることが明らかになりました。
サイバーセキュリティが重要であることは明らかですが、サプライチェーンの文脈では実際にどのような意味を持つのでしょうか。
一般的な開発チームにおけるサイバーセキュリティの状況
毎日、膨大な量のソフトウェアが作られており、毎年、何十億行ものコードが作成されていますが、私たちのデジタルライフの進展に伴い、その数は増加の一途をたどっています。世界の開発者人口は、2024年までに約2,900万人になると言われていますが、現在、開発者の安全なコーディング能力を評価・認定する正式な資格は存在しません。すべての開発者が安全でないコードを作成したり再利用したりしているわけではありませんが、私たちがデータを託すソフトウェアに基本的なセキュリティ上の弱点が入り込んでしまうリスクは、間違いなく継続的に存在します。
開発者は、できるだけ早く機能を作り、コードを出荷する能力が評価されます。しかし、ソフトウェア開発の初期段階で一般的なセキュリティバグを防ぐことができるという可能性に多くの企業が気づくにつれ、この傾向は変わり始めています。しかし、認識することと実行することは別のことです。ほとんどの第三次開発courses では、安全なコーディングの実践に関する文脈が省略されているため、不足分を補うのは開発者の職場であることが多いのです。スキルアップや知識の共有が頻繁に行われていなかったり、無関係だったりすると、効果が出ない可能性があります。このようにして、スキル開発の不足による脆弱性の再発というサイクルが繰り返されているのです。
もちろん、一般的なソフトウェア開発者が世界のサイバーセキュリティの問題を解決する責任はありません。しかし、セキュリティの専門家は不足しており、開発者はその負担を軽減する役割を果たすことができます。
しかし、壊滅的なサイバー攻撃を防ぐためには、重要なインフラや機密性の高い組織向けのソフトウェアを開発しているベンダーはどうすればよいのでしょうか。それには少なくとも、ソフトウェア調達の現状を変える必要があるでしょう。
安全なソフトウェアのサプライチェーンを阻む落とし穴
鎖は最も弱いものほど強い」というよく知られた格言は、残念ながら、ソフトウェアの供給に関しても当てはまります。セキュリティのベストプラクティスを強化し、開発者のスキルアップに投資し、機能的なDevSecOps環境(ソフトウェアを可能な限り安全に作成する責任を全員で共有すること)に移行しているかどうかは関係ありません。
確かに、セキュリティチームは、技術スタックに追加されるサードパーティの安全性を評価する手助けをするべきですが、ソリューションの選択肢がほとんどない中で、ビジネスニーズに基づいて決定することができます。この時点で、それは信頼の問題になります。ベンダーは、あなたの会社と同じようにセキュリティに関心を持っていますか?
ベンダーが追加するソフトウェアのセキュリティ上の実行可能性を評価する上で、透明性は非常に重要な要素です。ベンダーは、自社のセキュリティ対策を率直に語っているでしょうか。彼らは、データを安全に保つためのアプローチに誇りを持っており、それは最優先事項であるべきです。もし、セキュリティ対策がどこにも公表されていなかったり、情報が得られない場合は、セキュリティを最優先に考えていない可能性が高いと考えられます。ベンダーは技術的な質問に答えられるようにしておく必要があり、ISO27001やSOC2などの独立した認証を取得していても問題ありません。また、自社内でのデューデリジェンスやセキュリティ対策の一環として、「ボンネットの中を覗いて」脆弱性をスキャンできないのであれば、それは忘れてください。
特に、ベンダーのコードを既存のシステムに組み込んで新しいコンテキストで動作させる場合は、ベンダーとバイヤーの両方が最高の状態である必要があります。また、ベンダーとバイヤーの両方は、一般的なセキュリティバグや欠陥を出荷前に拾うために、開発者を現場に配置する必要があります。既存の技術ソリューションの蜘蛛の巣に新しいものが加わると、何百、何千もの依存関係が危うくなる可能性があり、一つの小さな失敗が破滅的な破滅につながる可能性があります。
では、どのような解決策があるのでしょうか?すべてのコードを自社で一から作る?1998年の時代であれば、それは理にかなっているかもしれません。しかし、洗車場の場所を「Jeevesに聞く」ことがなくなったように、今の時代に合った現実的な安全策を講じる必要があります。
銀の弾丸はまだありませんが、解決策はあります。
購入者にとって、ベンダーのソフトウェアと開発手法のセキュリティassessment は、全体的なセキュリティプログラムとリスク軽減計画の優先事項であるべきです。ベンダーの認証、開発手法、開発者のセキュリティに関する評判などについて質問してください。
ベンダー(そして、ソフトウェアを開発するすべての企業)は、セキュリティを最重要視していることを示すための準備が必要であり、スキルアップに力を入れるべきです。セキュリティに精通した開発者の需要は高く、適切なツールとサポートがあれば、既存のチームから開発者を育成し、一般的な脆弱性を利用した攻撃からの防御を可能にすることができます。しかし、古いトレーニングを投げつけるようなことはしないでください。既存のワークフローを補完するようなセキュリティツールを使って、彼らが成長するための時間を与えてください。そうすれば、ビジネスを動かすコードの中から、厄介なバグが消えていくのを見ることができるでしょう。
要するに、ソフトウェアのリスクは、それがサプライチェーンの一部である場合、直ちに悪化し、すべてのユーザと、脆弱なコンポーネントが使用されたすべてのシステムに影響を及ぼすということです。もしベンダーがそのソフトウェアを導入している企業ほどセキュリティに真剣に取り組んでいなければ、あるいはベンダーと組織の両方がセキュリティ・プログラムに欠けていれば、SolarWindsのような、より壊滅的で広範囲に及ぶサプライチェーン攻撃が常態化することは避けられず、これは誰にとっても重大な問題です。
ピーテル・ダンヒユー
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
政府のサプライチェーン・パイプラインに潜むサイバー脆弱性のベールを剥ぐ
この記事の一部分は TechCrunch.この記事は、TechCrunchに掲載されたものを更新し、こちらにも掲載されています。
名前の付けられない年」に十分な混乱がなかったかのように、2021年は米国政府にとって耳をつんざくような衝撃的なスタートを切りました。SolarWinds社の事件は、壊滅的で洗練された国家レベルの攻撃であり、いくつかの政府省庁や大規模組織をパニックに陥れ、エンドポイントのセキュリティ確保に奔走させました。この事件により、ソフトウェアのサプライチェーンにおけるサイバーセキュリティと防御が非常に重要であることが明らかになりました。
サイバーセキュリティが重要であることは明らかですが、サプライチェーンの文脈では実際にどのような意味を持つのでしょうか。
一般的な開発チームにおけるサイバーセキュリティの状況
毎日、膨大な量のソフトウェアが作られており、毎年、何十億行ものコードが作成されていますが、私たちのデジタルライフの進展に伴い、その数は増加の一途をたどっています。世界の開発者人口は、2024年までに約2,900万人になると言われていますが、現在、開発者の安全なコーディング能力を評価・認定する正式な資格は存在しません。すべての開発者が安全でないコードを作成したり再利用したりしているわけではありませんが、私たちがデータを託すソフトウェアに基本的なセキュリティ上の弱点が入り込んでしまうリスクは、間違いなく継続的に存在します。
開発者は、できるだけ早く機能を作り、コードを出荷する能力が評価されます。しかし、ソフトウェア開発の初期段階で一般的なセキュリティバグを防ぐことができるという可能性に多くの企業が気づくにつれ、この傾向は変わり始めています。しかし、認識することと実行することは別のことです。ほとんどの第三次開発courses では、安全なコーディングの実践に関する文脈が省略されているため、不足分を補うのは開発者の職場であることが多いのです。スキルアップや知識の共有が頻繁に行われていなかったり、無関係だったりすると、効果が出ない可能性があります。このようにして、スキル開発の不足による脆弱性の再発というサイクルが繰り返されているのです。
もちろん、一般的なソフトウェア開発者が世界のサイバーセキュリティの問題を解決する責任はありません。しかし、セキュリティの専門家は不足しており、開発者はその負担を軽減する役割を果たすことができます。
しかし、壊滅的なサイバー攻撃を防ぐためには、重要なインフラや機密性の高い組織向けのソフトウェアを開発しているベンダーはどうすればよいのでしょうか。それには少なくとも、ソフトウェア調達の現状を変える必要があるでしょう。
安全なソフトウェアのサプライチェーンを阻む落とし穴
鎖は最も弱いものほど強い」というよく知られた格言は、残念ながら、ソフトウェアの供給に関しても当てはまります。セキュリティのベストプラクティスを強化し、開発者のスキルアップに投資し、機能的なDevSecOps環境(ソフトウェアを可能な限り安全に作成する責任を全員で共有すること)に移行しているかどうかは関係ありません。
確かに、セキュリティチームは、技術スタックに追加されるサードパーティの安全性を評価する手助けをするべきですが、ソリューションの選択肢がほとんどない中で、ビジネスニーズに基づいて決定することができます。この時点で、それは信頼の問題になります。ベンダーは、あなたの会社と同じようにセキュリティに関心を持っていますか?
ベンダーが追加するソフトウェアのセキュリティ上の実行可能性を評価する上で、透明性は非常に重要な要素です。ベンダーは、自社のセキュリティ対策を率直に語っているでしょうか。彼らは、データを安全に保つためのアプローチに誇りを持っており、それは最優先事項であるべきです。もし、セキュリティ対策がどこにも公表されていなかったり、情報が得られない場合は、セキュリティを最優先に考えていない可能性が高いと考えられます。ベンダーは技術的な質問に答えられるようにしておく必要があり、ISO27001やSOC2などの独立した認証を取得していても問題ありません。また、自社内でのデューデリジェンスやセキュリティ対策の一環として、「ボンネットの中を覗いて」脆弱性をスキャンできないのであれば、それは忘れてください。
特に、ベンダーのコードを既存のシステムに組み込んで新しいコンテキストで動作させる場合は、ベンダーとバイヤーの両方が最高の状態である必要があります。また、ベンダーとバイヤーの両方は、一般的なセキュリティバグや欠陥を出荷前に拾うために、開発者を現場に配置する必要があります。既存の技術ソリューションの蜘蛛の巣に新しいものが加わると、何百、何千もの依存関係が危うくなる可能性があり、一つの小さな失敗が破滅的な破滅につながる可能性があります。
では、どのような解決策があるのでしょうか?すべてのコードを自社で一から作る?1998年の時代であれば、それは理にかなっているかもしれません。しかし、洗車場の場所を「Jeevesに聞く」ことがなくなったように、今の時代に合った現実的な安全策を講じる必要があります。
銀の弾丸はまだありませんが、解決策はあります。
購入者にとって、ベンダーのソフトウェアと開発手法のセキュリティassessment は、全体的なセキュリティプログラムとリスク軽減計画の優先事項であるべきです。ベンダーの認証、開発手法、開発者のセキュリティに関する評判などについて質問してください。
ベンダー(そして、ソフトウェアを開発するすべての企業)は、セキュリティを最重要視していることを示すための準備が必要であり、スキルアップに力を入れるべきです。セキュリティに精通した開発者の需要は高く、適切なツールとサポートがあれば、既存のチームから開発者を育成し、一般的な脆弱性を利用した攻撃からの防御を可能にすることができます。しかし、古いトレーニングを投げつけるようなことはしないでください。既存のワークフローを補完するようなセキュリティツールを使って、彼らが成長するための時間を与えてください。そうすれば、ビジネスを動かすコードの中から、厄介なバグが消えていくのを見ることができるでしょう。
要するに、ソフトウェアのリスクは、それがサプライチェーンの一部である場合、直ちに悪化し、すべてのユーザと、脆弱なコンポーネントが使用されたすべてのシステムに影響を及ぼすということです。もしベンダーがそのソフトウェアを導入している企業ほどセキュリティに真剣に取り組んでいなければ、あるいはベンダーと組織の両方がセキュリティ・プログラムに欠けていれば、SolarWindsのような、より壊滅的で広範囲に及ぶサプライチェーン攻撃が常態化することは避けられず、これは誰にとっても重大な問題です。
