ITセキュリティーに関連したホットトピックを取り上げ、動向や対策をひも解きます。今回はサプライチェーン攻撃へのセキュリティー対策を解説します。
サプライチェーン攻撃の種類
サプライチェーン攻撃とは、大企業から中小企業までを含む組織のサプライチェーンにおける弱点を突いて侵入を図るサイバー攻撃を指します。さまざまな形態が存在しますが、今回は攻撃の起点を軸に、「ソフトウエア・ハードウエア」「ビジネス」「サービス」の3つに区分し、それぞれの攻撃について解説します。
サプライチェーン攻撃の全体像:サプライチェーンの弱点を突く攻撃の起点はさまざま
攻撃区分(1):ソフトウエア・ハードウエアサプライチェーン攻撃
ソフトウエアサプライチェーン攻撃は、ソフトウエアの開発や配布プロセスを侵害することでソフトウエアやアップデートプログラムに悪意あるコードを埋め込み、当該コードを悪用して標的組織を侵害する攻撃手法です。
ハードウエアサプライチェーン攻撃も同様に製造開発プロセスに悪意のあるコンポーネントを物理的に組み込むことで、ハードウエア製品にバックドアやマルウエアを仕込む攻撃手法です。攻撃者は事前に仕込んでおいたコンポーネントを悪用し、最終的な攻撃目標へのアクセスを試みます。
特にソフトウエアサプライチェーン攻撃は近年爆発的に増加しており、2020年に発生したSolarWinds製品の正規アップデートプログラムにバックドアを含むコンポーネントが仕込まれていたことが明らかになり影響の大きさから話題になりました。
また最近ではPythonやPHPなどの著名パッケージライブラリーにクレデンシャルを窃取するコードが埋め込まれていたことが明らかになっています。
攻撃区分(2):ビジネスサプライチェーン攻撃
ビジネスサプライチェーン攻撃は、セキュリティー対策が不完全な関連会社や取引先への侵入を足掛かりに、最終目標であるターゲット企業への攻撃を成功させる手法です。日本では2022年の国内大手企業の被害により注目を集めました。
この攻撃は以前から脅威であったものの、委託先のセキュリティー対策状況を把握している日本企業は半数以下にとどまっており、北米・豪州企業と比較し大きく後れを取っている状況と言えます。
国内外パートナー/委託先のセキュリティー対策状況の把握・改善要求のガバナンス状況:日本企業による委託先セキュリティーガバナンスは遅れている
攻撃区分(3):サービスサプライチェーン攻撃
サービスサプライチェーン攻撃は、マネージドサービスプロバイダーなどのサービス事業者が攻撃され、顧客システムの運用・保守における正当なアクセス権限が悪用される攻撃手法です。
最近では、DXの進展に伴い複数のサービスを組み合わせたシステム開発が増えています。連携するサービスの仕様を踏まえ、意図しない使われ方が可能となっていないか分析が必要です。そのリスク分析不足により、脆弱なサービス連携ポイントを突いた攻撃が行われ、不正な電子決済や個人情報漏えいなどの問題が発生しています。
このようにサプライチェーン攻撃は、多様な攻撃ベクトルを持ち影響が広範囲に及びます。サプライチェーンに組み込まれている企業は、組織規模に関わらず攻撃に対する備えが必要です。
サプライチェーン攻撃の対策動向
サプライチェーン攻撃を防ぐためには、どのような対策が有効でしょうか。攻撃の特徴に合わせた対策例を紹介します。
サプライチェーン攻撃概要と対策例のまとめ:サプライチェーン攻撃の全体イメージ
対策動向(1):ソフトウエア・ハードウエアサプライチェーン攻撃
ここでは特に被害が大きいソフトウエアサプライチェーン攻撃について、ソフトウエアの開発者、利用者、双方の視点から対策例を解説します。
開発者視点:SLSAの活用
SLSA(Supply-chain Levels for Software Artifacts)は2021年に初版が、2023年3月に初の改訂版の公開が予定されている「開発プロセスを保護するフレームワーク」です。
SLSAはもともとGoogleにおいて長年採用され効果が実証されているコードレビュープロセスから着想を得たものです。4つのレベルでサプライチェーン攻撃への対策が構成されており、レベル4は理想的な最終状態を示しています。下位の3つのレベルは段階的に採用可能なガイドラインのセットとして用意されており、開発システムの重要度に鑑みレベルを選択する利用方法も考えられます。
開発者・利用者視点:SBOMの活用
SBOM(Software Bill of Materials)は、開発元から提供されるソフトウエアを構成するコンポーネントや依存関係、ライセンスデータなどの構成情報を一覧化した部品表です。最近なって米国を中心に急速に普及しつつあります。
ソフトウエアの9割以上で使用されているといわれるオープンソースソフトウエア(OSS)などの重大な脆弱性が公開された際には、SBOMを活用することで迅速かつ効率的に影響範囲を特定し、被害を最小限に抑えることに役立つと考えられています。
ただしSBOM生成に必要なデータ提供方法、活用ツールの整備、各国規制基準との整合性やSBOM共有における信頼性・完全性の確保など課題も多く今後の進展を注視しておく必要があります。
開発者・利用者視点:SCAの活用
SCA(Software Composition Analysis)ツールは、ソフトウエアの構成要素に潜むセキュリティーリスクを検出するためのものであり、SBOMを作成する際にSCAが利用されることもあります。SCAツールは、ソフトウエアを解析することでコードベース内のOSSを識別し、ソフトウエア構成要素に潜む脆弱性やライセンス違反などをチェックします。
独自に解析した情報をもとにSBOMを作成するため、開発元から正確な構成情報が提供されるSBOMと比較すると精度は落ちますが、SCAの主要な役割であるセキュリティーリスクを検出するためのツールやプロセスとしてSCAをSBOMと併用し相補的に活用する使い方も考えられます。
対策動向(2):ビジネスサプライチェーン攻撃
NIST SP800-171
NIST SP800-171は、米国国立標準技術研究所(NIST)が発行するセキュリティー基準を示 すガイドラインです。そこには、米国政府の重要情報を取り扱う米国国防総省の委託先、取引先などが遵守することを義務付けられています。
このガイドラインにはガバナンス体制の確立、管理体制の構築、システムへのセキュリティー対策の導入と運用、監査の実施などが記されています。日本の防衛省においても同水準の管理策を盛り込んだ「防衛産業サイバーセキュリティ基準」が2022年に整備されました。
NIST SP800-171は広く一般の民間企業に対して順守を求めるものではありませんが、ビジネスサプライチェーンからの情報漏えい対策として参考にする企業が増えています。
対策動向(3):サービスサプライチェーン攻撃
サービスリスク分析:セキュリティ・バイ・デザインの実践
セキュリティ・バイ・デザイン(Security by Design)とは、企画・設計フェーズからセキュリティー対策を組み込み、開発プロセスの早い段階からセキュリティーを確保する開発手法です。サービス連携を活用したシステム開発において、連携するサービス仕様の詳細把握とともに、企画・要件定義の段階でサービス全体のセキュリティーリスク分析フェーズを設けることの重要性を示しています。
米国政府の対策
最後に、先行する米国政府にフォーカスし、日本への影響を一部織り交ぜながら取り組み状況を解説します。
2020年から2021年前半にかけ、SolarWindsやCodecov、Colonial Pilelineなど大規模なサプライチェーン攻撃の観測を受け2021年5月に「Improvingthe Nation’s Cybersecurity(国家のサイバーセキュリティーの改善)」に関する大統領令(EO)14028が発令されました。この大 統領令において「ソフトウエアサプライチェーンセキュリティーの強化」が示され、SBOM導入が重要施策の1つと取り上げられ、米国でSBOM普及が加速するきっかけとなりました。
2022年5月には大統領令に基づき「ソフトウエアサプライチェーンのセキュリティー強化に向けたガイダンス」がNIST SP800-161 Rev.1の付録として公開されました。従来NISTSP800-161 Rev.1で定義されていたサイバーサプライチェーンリスクマネジメント(C-SCRM)の管理策が大統領令で指示された取り組みにおいても有効な手段であることが示されました。
2022年8月~10月には、ソフトウエアサプライチェーンセキュリティーに関する推奨対策が示された稀少な権威文書として、「開発者」「サプライヤー」「カスタマー」の3部構成からなる「ソフトウエアサプライチェーンセキュリティーのガイダンス」が発行されました。民間組織にも推奨されるガイダンスとして概観するのに適した内容となっています。
日本政府とサイバー防衛連携強化
2023年1月、日米両政府は「サイバーセキュリティーに関する協力覚書」に署名し、高度化するサイバー攻撃への対応のため、「運用面での協力」「制御システムセキュリティーの向上」「インド太平洋地域等の能力向上に関する協力」「サイバーセキュリティー関連規制及びスキームの調和のための対話促進」で協力することになりました。
政府調達のソフトウエアは、SBOM導入も含め、両国で同水準のソフトウエア安全基準を整備する内容も含まれていると報道されており、この覚書により日本でもSBOM普及に向けた活動が加速すると考えられます。
※「日経コンピュータ」2023年3月30日号より、一部加筆の上、転載。
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/012300337/031700003/
日経BPの了承を得て転載/無断転載・複製を禁じます。