ソフトウェアサプライチェーン攻撃との戦い
逗阴馆? Software Trust Manager に、ReversingLabs が開発した脅威検出機能とソフトウェア構成表(SBOM)機能が追加されます。顧客は、ソフトウェアに存在する脅威や脆弱性を、署名する前に安全に検出できるようになります。
ソフトウェアサプライチェーン攻撃は増え続けています。MSI、Intel、Microsoft、CircleCI、3CX といった大手テクノロジー企業も先日ソフトウェアサプライチェーン攻撃を受けており、SolarWinds、Asus、Codecov、Docker Hub、A.P.、Moller-Maersk などといった従来の犠牲者に名前を連ねることになりました。今や誰も無縁ではいられないのです。
ガートナーが発表した最近のレポートによると、2025 年までに世界中の企業の 45% がソフトウェアサプライチェーン攻撃を経験すると予測されています。また別のでも、ソフトウェアサプライチェーン攻撃は過去 3 年間で 742%(誤字ではありません!)も増加したという報告があります。
ソフトウェアサプライチェーン攻撃といっても、その手法はさまざまです。なかには、保护されていないコード署名键を狙い、それをダークウェブで贩売したり、マルウェアへの署名に悪用したりする手法もあります。
一方、公司のソフトウェア开発ライフサイクルに存在する脆弱性を利用して、公司のソフトウェア製品に人知れず直接マルウェアを挿入するインフラストラクチャを构筑する攻撃もあります。あるいは、マルウェアに感染したサードパーティ製ソフトウェア(オープンソースソフトウェアなど)を、组织が知らずに自社製品に组み込んだときに発生する攻撃もあります。
このように攻撃の手口は多様ですが、攻撃された公司への影响は同じです。顾客の信頼と评判、収益を失ったり、顾客や公司の机密データを夺われたりします。
薬剤耐性をもち絶えず変異するウイルスと同様、ソフトウェアサプライチェーン攻撃というこの世界的なパンデミックに対しても、予防的な治療への多面的なアプローチが必要です。政府や业界団体からは、多くの提言が発表されています。
たとえば米国政府は、2021 年にを発表し、国立标準技术研究所(狈滨厂罢)によって「」が作成されるに至りました。それを受けて、国防総省も「」で発表しています。また、米国行政管理予算局も覚书 を発表。「连邦各机関は『机関によって、または机関に代わって収集または维持される情报(中略)』のどちらについてもセキュリティ保护を実施するよう求め」ています。これは、米国政府にソフトウェアを纳入する际、そのソフトウェアやサービスのセキュリティを証明しなければならないプロバイダーに、直接的な影响を与えるものです。
これほど拡大しているパンデミックに対応しているのは、もちろん米国だけではありません。欧州连合(贰鲍)とその加盟各国、英国、日本なども同様の方针を打ち出しています。
一方、ソフトウェアサプライチェーン攻撃に対処するために、さまざまな治療対策が開発されています。いずれも、攻撃の検出と防止に対して独自の機能を備えていますが、どれかひとつで間に合うことはまずありません。動的アプリケーションセキュリティテスト(DAST)、静的アプリケーションセキュリティテスト(SAST)、ソフトウェア構成解析、安全なコード署名、SBOM などは、これまでに登場した対策のほんの一例です。
場合によっては、ソフトウェアサプライチェーンのセキュリティに取り組もうとして、パッチワークのようなアプローチをとる組織もあります。たとえば、あるチームが A という技術に大きく依存する一方、同じ組織の別のチームは B という技術に依存しているといった状態です。このように全社的な連携を欠いていると、組織は攻撃に対して脆弱になり、悪くすれば企業セキュリティの責任者が誤った安心感に浸ってしまうことにもなりかねません。
一例として、コード署名について考えてみましょう。これは30 年以上前から企業が利用してきたセキュリティ技術です。この技術が十分に機能したのは、コード署名の秘密鍵を盗みさえすればいいということを攻撃者が発見するまでのことでした。企業は、コード署名鍵をハードウェアセキュリティモジュール(HSM)などの安全な保管場所に移動することでこれに対処しています。ところが、攻撃者はこれを回避します。フィッシングなど他の手法を使って、秘密鍵へのアクセスに必要な認証情報にアクセスするのです。今や企業は、秘密鍵を安全に保管するだけではなく、安全なコード署名プロセスを実装しなければなりません。鍵のセキュリティ、ロールベースのアクセスおよび制御、一元的なポリシー定義、コード署名活動に関して反論の余地のないログといった手法です。
変异するウイルス、そして时间とともに进化する复数の治疗法を用いる医疗アプローチ。この両者の関係と同様、ソフトウェア业界もソフトウェアサプライチェーン攻撃に対抗すべく同じような対応が必要です。
デジサートが、公司向けに强化された安全なコード署名ソリューションとして提供しているのが、逗阴馆 Software Trust Manager です。Software Trust Manager を使うと、ソフトウェアチームの所在にも、チームが使うプログラミング言語やプラットフォームの種類にも、またチームが開発するソフトウェアの種類(クラウドネイティブ、組み込みデバイス、モバイルアプリなど)にもかかわらず、全社的にコード署名を一元管理することができます。実際、これまで攻撃者に悪用されてきたコード署名プロセスの脆弱性がいくつか解消されており、特に企業全体で安全なコード署名ポリシーを徹底するという観点を貫くことができます。
といっても、ソフトウェアに署名するときには一定の前提条件があります。署名するソフトウェアにバグやマルウェアその他の脆弱性が存在しないこと、改ざんされていないこと、どのようなコンポーネントが使われているか(ちなみに、これが SBOM の必要性を促した新しい規制要件です)をソフトウェアチームが正確に把握していることなどです。
顧客の声を聞くと、ソフトウェアに対する脅威の検出がいかに重要か、そしてそれをセキュリティワークフローに統合することがなぜ重要かがよくわかります。それだけでなく、さまざまなソフトウェアアプリケーションを開発している各ソフトウェアチームが簡単に利用できる必要があり、ソフトウェアチームの生産性に影響を与えないこと(CI/CD パイプラインの速度低下など)も重要であるといいます。
そのほかセキュリティチームからは、企業全体のセキュリティポリシーを規定できる一元的な作業環境も求められています。コード署名プロセスのポリシー、脅威や脆弱性に対するディープバイナリスキャンを要求するポリシー、新しい規制要件を満たせる包括的な SBOM の作成などに必要だからです。
デジサートは、ソフトウェアサプライチェーンセキュリティのリーダーである との提携を発表しました。ReversingLabs の高度なバイナリ解析と脅威検出を、デジサートによるエンタープライズクラスの安全なコード署名ソリューションと組み合わせてソフトウェアセキュリティを強化する提携といえます。デジサートのお客様には、ソフトウェアの完全性向上というメリットがあります。それを実現するのが、マルウェア、埋め込みソフトウェア、ソフトウェア改ざん、秘密漏洩などの既知の脅威がないかどうかを、安全に署名する前に確認できる深層解析です。
デジサートは、ReversingLabs の技術を、新しい 逗阴馆 Software Trust Manager Threat Detection に統合しました。この新しい機能の販売とサポートはデジサートが担当します。Software Trust Manager のワークフローに統合され、チームに一元的な管理性と可視性を提供します。
Software Trust Manager Threat Detection は、組織全体で集中管理される単一のワークフローを実現します。また、内部開発されたソフトウェアから、オープンソースや商用ライセンスソフトウェアなども含めたサードパーティ製ソフトウェアまでを網羅する包括的な SBOM が生成されます。
ソフトウェアサプライチェーンに対する攻撃の増加に伴って、脅威の検出と SBOM の生成はますます重要性を増しています。そして、政府や業界による規制の焦点にもなっています。
COVID-19 のパンデミックを受け、この数年の間に世界中でさまざまなツール、治療方法、予防策が発展してきました。それとまったく同じように、ソフトウェアサプライチェーン攻撃に対しても、企業は複数のセキュリティ対策を採用しなければなりません。デジサートと ReversingLabs のパートナーシップは、その実現に向けた重要な一歩となるものです。
デジサートウェビナーでは、デジタルトラストを维持し、安全なソフトウェアエコシステムを确保するために必要な课题と戦略、ソリューションについて当社の専门家がパネルディスカッションを展开しました。録画(英语)はできます。