現在、企業は新規事業開発のためにデジタルソフトウェアに依存する必要があり、ソフトウェアサプライチェーンのセキュリティの問題が徐々に顕著になってきています。外資系セキュリティベンダーのReversingLabsが発表した「ソフトウェアサプライチェーンセキュリティ調査」によると、ソフトウェアサプライチェーンに対する攻撃は2020年から2022年にかけて指数関数的に増加し、「悪意のある改ざん」「バックドア埋め込み」「サプライチェーンハイジャック」などが頻繁に発生するとのこと。攻撃により、ソフトウェア サプライ チェーンのセキュリティ リスクが増大しています。
しかし、ソフトウェア サプライ チェーンについては、多くの人が包括的に理解していません。ソフトウェアサプライ チェーンとは、設計、研究開発、メンテナンス アップデートのリリースなど、ソフトウェア メーカーからエンド ユーザーまでのプロセス全体を指します。上流の開発者から下流の顧客までの一連の複雑なプロセスも含まれます。
ソフトウェア サプライ チェーンの脅威の影響
科学技術の継続的な発展に伴い、情報セキュリティはあらゆる国で注目を集めています。ソフトウェア サプライ チェーンのリスクは、企業や個人を危険にさらすだけでなく、国家安全保障を直接脅かすことさえあります。
ハッカー攻撃
ソフトウェア サプライ チェーンはハッカーの侵入手段です。ソフトウェア開発者やサプライヤーがソフトウェア開発に不注意で欠陥や抜け穴を導入すると、ハッカーが企業システムに侵入し、悪意のあるコードを埋め込み、企業や機関のサーバーを攻撃し、国家ネットワークに影響を与える可能性があります。セキュリティです。
情報の盗難と漏洩
ソフトウェア サプライ チェーン全体のリンクには多くの標準とプロトコルが関与しており、ソフトウェアにはユーザー データ、資産、属性などの多くの重要な情報も含まれています。攻撃者は、バックドア プログラムを通じてこれらの標準プロトコルや情報からユーザー データ、アカウント パスワード、機密情報を盗み、個人や企業に多大な損失をもたらします。
国家安全保障システムを妨害する
ソフトウェアサプライチェーン攻撃は、軍、政府、金融機関などの主要なインフラ情報施設も攻撃し、国の重要なシステムに直接の脅威をもたらし、国家の情報セキュリティと経済安全保障を危険にさらすことになる。
典型的なソフトウェア サプライ チェーン攻撃イベント
ソフトウェア サプライ チェーンのセキュリティ問題によって引き起こされる被害をより詳しく説明するために、次に、長年にわたるソフトウェア サプライ チェーン攻撃の事例分析を実施します。
2022 年の GitHub OAuth トークン攻撃
GitHub は、オープンソースおよび独自のソフトウェア プロジェクトのホスティング プラットフォームです。攻撃者は、GitHub がサードパーティ インテグレータ Heroku および Travis-CI に発行した OAuth ユーザー トークンを盗み、数十の GitHub 顧客データをダウンロードしてプライバシー漏洩を引き起こしました。
2021 年のハッカーが SonarQube イベントを悪用
SonarQube は、ソフトウェア ソース コードの品質を分析および評価するためのオープン ソース コード分析プラットフォームです。ハッカー組織 ATW が SonarQube のセキュリティ上の欠陥を利用して攻撃し、多くの国内重要部門のシステム ソース コードが漏洩しました。
2020年SolarWindsソフトウェアサプライチェーン攻撃
ネットワーク セキュリティ管理ソフトウェア プラットフォームである SolarWinds は、ハッカーが侵入し、尋問中に立ち往生する原因となったソフトウェア コード内のコード違反を発見しました。これまでのところ、漏洩した情報には米国政府および企業の数千人のユーザーが関与しており、重大な影響を及ぼしています。
2017 年の CCleaner マルウェア事件
有名なシステム クリーニング ソフトウェア CCleaner に悪意のあるプログラムが出現し、ハッカーが CCleaner ソフトウェア サーバーを改ざんする攻撃を行ったことにより、大量のユーザー データが漏洩し、ソフトウェア サプライ チェーンのセキュリティが重大な脅威にさらされました。
2014 年ハートブリード脆弱性インシデント
かつて世界中でセンセーションを巻き起こした「Heartbleed」脆弱性事件は、2012年から2014年にかけて多くのWebサイトやソフトウェアに存在し、ネットワークセキュリティを深刻に脅かし、ソフトウェアサプライチェーンのセキュリティ対策の重要性を証明しました。
ソフトウェアサプライチェーンのセキュリティ問題にどう対処するか
ソフトウェア サプライ チェーンのセキュリティ問題に直面して、当社は、ソフトウェアの開発および配信時のセキュリティを確保するために、ソフトウェア サプライ チェーンに関わるさまざまなリンクを中心に対策を講じてきました。具体的には、ソフトウェア サプライ チェーンのセキュリティには次の側面が含まれます。
-
ベンダーのセキュリティ: ソフトウェア ベンダーは、セキュリティと完全性に関して評価されます。
-
開発環境とプロセスのセキュリティ: コードのセキュリティと信頼性を確保するために、開発環境とプロセスのセキュリティ評価と構成を実施します。
-
サードパーティ コンポーネント/オープン ソース コンポーネントのセキュリティ: サードパーティ コンポーネント/オープン ソース コンポーネントのセキュリティ評価と監査を実施し、コンポーネントのセキュリティと信頼性を確保します。
-
構築および展開のセキュリティ: 構築および展開ツールのセキュリティ評価と構成を実施し、構築および展開のセキュリティと信頼性を確保します。
-
実行時セキュリティ: 実行時のプログラムのセキュリティと信頼性を確保するための、アプリケーションとサービスのセキュリティ評価と構成。
上記のソフトウェア サプライ チェーン セキュリティの内容を考慮すると、企業のソフトウェア サプライ チェーンのセキュリティ機能は 3 つの側面から強化できます。
ソフトウェアサプライチェーンのセキュリティ管理を強化
ソフトウェアセキュリティ管理メカニズムと監督システムを改善し、完全なソフトウェアサプライチェーンセキュリティ管理システムを確立します。
-
各リンクを効果的に監視できるように、責任者、プロセス、セキュリティ システムなどを定義します。
-
サプライヤーに対するセキュリティ要件を強化し、認定されていないサプライヤーの使用を避けます。
-
ソフトウェアを購入または配布するときは、ソフトウェアのセキュリティ評価とテストを適切に行ってください。
-
ソフトウェアの運用中にセキュリティ インシデントが発生した場合は、タイムリーに対応して対処し、その後の分析と対応に備えてインシデントのプロセス全体を記録します。
研究開発セキュリティシステムの構築を頑張ってください
安全研究開発体制の構築は、単に研究開発部門が自ら構築するものではなく、上級リーダーが安全研究開発の重要性を認識し、安全研究開発体制の構築を企業全体の戦略に組み込むことが求められます。
-
システム構築を開始する前に、ソフトウェアの研究開発ライフサイクル全体を明確にし、総合的な管理基準・規範を策定します。
-
健全なコミュニケーションメカニズムと共同作業モデルを確立し、チームメンバー間のスムーズかつ効率的な情報交換と協力を確保します。
-
ソフトウェア セキュリティ テスト機能を強化し、セキュリティ要件分析、コード セキュリティ スキャン、コンポーネント セキュリティ分析など、ソフトウェア開発ライフ サイクルのあらゆる側面で「セキュリティ」を強化します。
-
各リンクの監視と管理を強化し、タイムリーに問題を発見して修正し、閉じた管理ループを形成し、高品質のソフトウェア配信を保証します。
ソフトウェア開発者のセキュリティ意識を向上させる
セキュリティ意識はソフトウェア開発者が習得すべき重要なポイントの一つであり、開発者の研修や評価においてもセキュリティ意識の普及・向上に留意する必要がある。
-
定期的なセキュリティ トレーニングを実施して、ネットワーク攻撃やエクスプロイトに対する研究開発担当者の意識を向上させます。
-
セキュリティ仕様と開発仕様を策定して、開発者が作成したコードがセキュリティ標準を満たしていることを確認します。
-
セキュリティ意識の文化を構築し、開発者が脆弱性の発見やバグ修正に参加することを奨励し、セキュリティの意識とスキルを向上させます。
ソフトウェアのサプライチェーンのセキュリティは企業や国にとって非常に重要であり、企業はソフトウェアの調達と開発の過程で常にサプライチェーンのセキュリティに注意を払い、サプライチェーン内のすべてのソフトウェアの信頼性を確保するためにタイムリーな措置を講じる必要があります。
国にとって、ソフトウェア サプライ チェーンのセキュリティを強化することは、国家情報セキュリティと国家安全保障を保護するための基本要件の 1 つです。政府と企業は、経済発展を促進し、国益と国民の利益の安全を保護するために、政策、標準、規制の観点からソフトウェアサプライチェーンの安全性を確保するために協力する必要があります。ソフトウェア サプライ チェーンのセキュリティの重要性を真に認識し、効果的な対策を積極的に講じることによってのみ、より安全なデジタル世界を構築することができます。