ソフトウェアサプライチェーンのセキュリティを向上させる6つのポイント

組織でのDXが順調に進んでいる場合でも、または費用対効果のより高い俊敏なプラットフォームに移行している場合でも、アタックサーフェイス（攻撃対象領域）は、ソフトウェアサプライチェーンが生み出す脅威にますますさらされてきています。

最新の調査によると、回答者の82%が、自社の組織はソフトウェアのサプライチェーンを標的としたサイバー攻撃に対して脆弱であると回答しています※1。実際トレンドマイクロによるグローバル調査では、52％の組織がランサムウェアの被害を受けたサプライチェーンパートナーを抱えていることが報告されています※2。さらに、Kaseya社※3とSolarWinds社※4への攻撃の成功に刺激されて、サイバー犯罪者によるソフトウェアの構築と流通過程に対する攻撃キャンペーンが活発化しています。
※1　82% of CIOs Say Their Software Supply Chains are Vulnerable June 1, 2022
https://www.venafi.com/blog/study-82-cios-say-their-software-supply-chains-are-vulnerable
※2　A global study EVERYTHING IS CONNECTED　:Uncovering the ransomware threat from global supply chains
https://www.trendmicro.com/explore/glrans
※3 マネージドサービスプロバイダ（MSP）やIT企業へIT管理ソフトウェアを提供しているKaseya社は、現地時間2021年7月2日に同社のオンプレミス型製品を狙った高度なサイバー攻撃に見舞われたことを発表しました。
※4 2020年12月に発生した、SolarWinds社製ネットワーク監視アプリケーション「Orion」を侵害した攻撃事例。

組織側もこのような脅威の進化に注目しているのは明らかです。上記調査によると、「CEOの取締役会からソフトウェアの構築・流通過程でのセキュリティを向上させるよう特別な指示を受けた」と回答した人が85％にも上ることが判明しています。

それでは、どのようにしてこの向上を実現すればよいのでしょうか。ここからは、CISOやセキュリティリーダーがサプライチェーンのサイバーリスクを管理・軽減できるように、ソフトウェアサプライチェーンの脆弱性の原因とCISA※による戦略的推奨事項を探ります。
※米国国土安全保障省傘下のサイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA： Cybersecurity and Infrastructure Security Agency）

ソフトウェアサプライチェーンを取り巻く環境アジャイル開発への需要から、多くの組織がクラウドネイティブ開発にシフトし、DevOpsプロセスを採用するようになりました。この移行は確かに有益ではありますが、一方で開発スピードが速くなったことでソフトウェアのサプライチェーンへのセキュリティが著しく複雑になってきました。

ソフトウェアサプライチェーンを可視化するために、DevOpsライフサイクルのモデルを考えてみましょう。このソフトウェア開発手法は、開発者の構築時間を遅くすることなく、ソフトウェアライフサイクルのすべての段階における絶え間ないフィードバックと連携によってセキュリティを実現します。下図は、DevOpsのライフサイクルと、それを前進させるさまざまな外部構成要素との連携を表しています。

DevOpsによるソフトウェア開発では、新しい要件からプロセスが始まります。この図では1本の帯で示していますが、実際には多くのサードパーティのコンポーネントやツールがあり、プロセスのスピードアップに役立っています。

ソフトウェアサプライチェーンを狙う攻撃実はここに問題があります。これらのコンポーネントやツールは、サイバー犯罪者によって攻撃に悪用され、さまざまなシステムにアクセスされる可能性があるのです。

主な攻撃経路について考察してみましょう。

Data distribution services (DDS)DDSは、リアルタイムシステムや組み込みシステムのパブリッシュ/サブスクライブのミドルウェアアプリケーションに使用されるマシン間テクノロジです。オブジェクト管理グループ（OMG）が管理するDDSは、センサ、コントローラ、アクチュエータ間の信頼性の高い通信レイヤーを実装する上で重要な役割を担っています。DDSは、センサ、コントローラ、アクチュエータ間の信頼性の高い通信レイヤーを実装する重要な役割を担っており、チェーンの先頭に位置しているため見失いやすく、攻撃者の格好の標的になっています。

2022年1月に、トレンドマイクロリサーチ、TXOne Networks、ZDIは、ADLINK Labs、Alias Roboticsと共同で、最も広く使われている6種類のDDSが実装されたシステムにおいて13の新しい脆弱性情報を発表しました※。これらの新たな脆弱性は、DDSそのもの以外にも影響を及ぼす可能性があることが判明しました。

DDSの脆弱性は、ネットワーク層に影響するものと設定レベルに影響するものに分けられます。前者はサービス拒否（DOS）攻撃、なりすまし、自動化による情報収集といった手口に悪用される可能性があります。後者の脆弱性は、DDSシステムの開発者やインテグレータをターゲットに使用されます。
※Defending the Supply Chain: Why the DDS Protocol is Critical in Industrial and Software Systems 2022/1/27
https://www.trendmicro.com/en_us/research/22/a/defending-the-supply-chain-why-dds-is-critical-in-industrial-and-software-systems.html

オープンソースコード一般的に、開発者はGithubなどの共有公開ライブラリからオープンソースのコードをコピーして、日常的なコンポーネントを入手しています。あるフィールドから別のフィールドへメッセージを送るコードを書く際に、既に誰かが作成したものがあるのであれば、わざわざ一から作成して貴重な時間を浪費する必要はありません。このように使い勝手が良いからこそ、最近のアプリケーションの90%はオープンソースのコードを活用しているのです。

しかし、オープンソースコードの未検証の性質は、オープンソースのログ出力ライブラリとして広く使われているApache Log4jのように、破壊的な影響を及ぼす攻撃を引き起こす可能性があります。Log4jのフレームワーク上の重大な欠陥により、サイバー犯罪者はたった1つの悪質なコードを注入することで脆弱なシステムを侵害することができました。FDAによると、Log4jは、Javaを使用した30億台以上の医療機器に影響を与えたと推定されています※。
※ FDA warns about Log4j cybersecurity vulnerabilities in medical devices　Dec. 20, 2021
https://www.medtechdive.com/news/fda-warns-log4j-cybersecurity-risks-medical-devices/611773/
Cybersecurity Vulnerability with Apache Log4j　12/17/2021
https://www.fda.gov/medical-devices/digital-health-center-excellence/cybersecurity?utm_medium=email&utm_source=govdelivery
FDA：Food and Drug Administration（アメリカ食品医薬品局）

システム管理ツールバージョン管理システムは、実際のリリースと実装プロセスを管理しています。本番環境では、サードパーティやオープンソースの本番環境がアプリケーションをホストします。システムの稼働中は、自動化されたオペレーションツールが、サービスレベルの維持や、スケジュールされたアクティビティの開始と停止、更新の同期などのルーチンワークを処理します。そして、システム管理ツールのスイートによって、生産がスムーズに行われ、リソースが最適化されていることが確認されます。

IT管理ソフトウェアとして人気の高いKaseya VSAは、2021年初頭にランサムウェアREvilの攻撃を受けました。攻撃者は、アップデートの構造上の脆弱性を利用し、ソフトウェアが管理するホストを通じて、悪意のあるペイロードを配布しました。広範な攻撃による被害はバーチャルな世界にとどまらず、スウェーデンの大手スーパーマーケットチェーンCoopでは800店舗をほぼ1週間閉鎖せざるを得なくなりました。

購入したアプリケーション開発者はデータベースの更新や、Webページのテンプレート化、テストなどの際に購入したソフトウェア製品も使用します。これらのソフトウェア製品は、米国企業Treck社が開発し広く使われている低レベルのTCP/IPソフトウェアライブラリに存在する一連のゼロデイ脆弱性「Ripple20」等の脆弱性を悪用される可能性があります。

Ripple 20の影響はサプライチェーンによって拡大され、脆弱なコンポーネントが1つでもあれば、フォーチュン500の多国籍企業を含む幅広い産業、企業、アプリケーションに影響を及ぼすことが実証されました。イスラエルのサイバーセキュリティ企業JSOFは、今回の攻撃によって数億台の端末が影響を受けたと報告しています※。
※Ripple20　19 Zero-Day Vulnerabilities Amplified by the Supply Chain
https://www.jsof-tech.com/disclosures/ripple20/

ソフトウェアサプライチェーンサイバーリスクへの対策ここまでの解説が示すように、ソフトウェアのサプライチェーンは複数のポイントで悪用される可能性があり、その安全確保はますます複雑になっています。

CISAは組織が防御を強化するために、ICT SCRM Essentialsを発表しています※。このなかで推奨されいてる効果的なサプライチェーンリスクマネジメントの実践に向けた6つの重要なステップを以下で説明します。
※CISA　SCRM Essentials （Information and Communications Technology Supply Chain Risk Management (SCRM) in a Connected World）
https://www.cisa.gov/sites/default/files/publications/ict_scrm_essentials_508.pdf

１	Identify 特定	関与するステークホルダー・対象者を特定する。
２	Manage 管理	NISTが公表しているような業界標準やベストプラクティス※に基づき、サプライチェーンセキュリティの方針と手順を策定し管理する。
３	Assess 査定	調達しているハードウェア、ソフトウェア、サービスを査定する。
４	Know 認識	サプライチェーン・マップを作成し、どのようなコンポーネントを調達しているのかをより良く理解し認識する。
５	Verify 検証	サプライヤのセキュリティ状況を評価する方法を決定し検証する。
６	Evaluate 評価	ガイドラインと照らし合わせながら、サプライチェーン構造をチェックするためのタイムフレームとシステムを確立し評価する。

※NIST　Key Practices in Cyber Supply Chain Risk Management
https://nvlpubs.nist.gov/nistpubs/ir/2021/NIST.IR.8276.pdf

CISAのフレームワークを最適化するには、現在使用しているセキュリティツールやベンダが、各ステップでの速度を落としたり、さらなる障壁を作ったりしないようにする必要があります。例えば、デジタルアタックサーフェス（攻撃対象領域）のあらゆる側面を発見・記録し、アップデートやパッチを追跡し、トラフィックパターンを学習するだけでなく、データや資産にアクセスするすべてのベンダやサードパーティをマッピングするための包括的な可視化が必要になってきます。

このような高いレベルの可視性は、特に今日の拡大するデジタルアタックサーフェスにおいて、具体的な緩和策を講じるために必要なものとなります。高い可視性の実現に向けては、サードパーティとの幅広い統合をサポートし、ソフトウェアのサプライチェーン全体を単一のダッシュボードから監視できる統合サイバーセキュリティプラットフォームを持つベンダの検討を推奨します。
また、自動化、継続的な監視、詳細なデータの収集と相関関連付けなどのセキュリティ機能は、影響を受けたサプライチェーン構成要素の迅速な検知、対応、修復を可能にするために不可欠となります。

※更新日：2022年10月17日