ソフトウェア・サプライチェーンのセキュリティとは

掲載 2022 年 12 月 14 日8 分 (読了時間の目安)
URL をコピー

概要

ソフトウェア・サプライチェーンのセキュリティは、リスク管理とサイバーセキュリティのベストプラクティスを組み合わせて、ソフトウェア・サプライチェーンを潜在的な脆弱性から保護します。ソフトウェア・サプライチェーンは、アプリケーション開発から CI/CD パイプライン、デプロイメントまでのソフトウェア開発ライフサイクル (SDLC) においてコードに関わるすべてのものや人から構成されます。 

サプライチェーンには、コンポーネント (インフラストラクチャ、ハードウェア、オペレーティングシステム (OS)、クラウドサービスなど)、それらを作成した人、作成元のソース (レジストリ、GitHub リポジトリ、コードベース、またはその他のオープンソース・プロジェクト) など、ソフトウェアに関する情報のネットワークが含まれます。また、ソフトウェアのセキュリティに悪影響を与える可能性のある脆弱性も含まれます。そこで役立つのがソフトウェア・サプライチェーン・セキュリティです。  

 

サプライチェーンのセキュリティに関する e ブックをダウンロードする

ソフトウェア・サプライチェーンのセキュリティが重要な理由

今では、ほとんどのソフトウェアはゼロから作成されるわけではなく、通常はオープンソースソフトウェアを含むソフトウェア・アーティファクトを組み合わせたものになっています。しかし、これらのソフトウェア・アーティファクトは脆弱性の影響を受けるものであり、開発者はサードパーティのソースコードやソフトウェア・アーティファクトに対する経時的な変更をあまり制御できません。注意が必要なのは、パッチが適用されていないソフトウェアはセキュリティの問題の影響をより受けやすいということです。ソフトウェアは日々のビジネス業務の実行に不可欠であるため、サプライチェーンのセキュリティはすべての組織やセキュリティチームにとって重要な責任です。

ソフトウェア企業の SolarWinds は 2020 年に侵害を受けました。同社の監視および管理ソフトウェアである Orion IT (大企業や政府機関で使用されているプラットフォーム) を介して、攻撃者が悪意のあるコードをリリースしたのです。サプライチェーンを攻撃することで、ハッカーは SolarWinds だけでなく、SolarWinds の顧客にも侵入しました。Log4j は広く使用されているものの、広範囲にわたって悪用が可能なオープンソースソフトウェアであり、多くのユーザーや組織がデータ侵害や攻撃の危険にさらされました。2021 年、米国大統領はソフトウェア・サプライチェーンとセキュリティの重要性を鑑み、サプライチェーンサイバーセキュリティという 2 つの大統領令を発令しました。

政府の標準規格に準拠できるようにシステムを準備

Red Hat のリソース

ソフトウェア・サプライチェーンのセキュリティリスクとは

ソフトウェア・サプライチェーンの何らかのコンポーネントに対するリスクは、そのサプライチェーン・コンポーネントに依存するすべてのソフトウェア・アーティファクトに潜在的なリスクをもたらします。これにより、ハッカーはマルウェア、バックドア、またはその他の悪意のあるコードを挿入してコンポーネントや関連するサプライチェーンを侵害する機会を得ることができます。ソフトウェア・サプライチェーン攻撃は一般的に、営利目的の攻撃者や国家レベルの攻撃者によって実行されます。これらの攻撃は増加しており、デジタル世界と物理世界の両方に劇的な影響を与える可能性があります。これらは一般的に、次の 4 種類のリスクのいずれかに分類されます。

  • 脆弱性:悪用される可能性があるソフトウェアコードの欠陥。その結果として侵害が発生する可能性があります。ソフトウェア・アーティファクトへのパッチの適用やアップデートにより、リスクを最小限に抑えることができます。
  • ライセンス:結果として得られるソフトウェア成果物をオープンソースにすることを義務付け、特許権を無効にする法的リスク。これについては、この分野の法的専門家に相談する必要があります。
  • サードパーティの依存関係:ソフトウェア・サプライチェーンの一部としての、外部組織への依存。これは把握するのが困難です。すべてのサードパーティコードを分析し、自社をサプライヤーがどのように保護しているかについて、そのサプライヤーに相談する必要があります。
  • プロセスとポリシー:これらがない場合は問題になります。開発者向けのポリシーを策定し、脆弱性への対応が必要な場合に備えてプロセス (または対応マニュアル) を作成します。

一般的な攻撃ベクトルには、アップデートの乗っ取り、コード署名の価値の弱体化、オープンソースコードの侵害などがあります。 

Linux® でリスクを軽減

DevSecOps とソフトウェア・セキュリティ

DevSecOps は、文化、自動化、およびソフトウェア設計へのアプローチであり、IT ライフサイクル全体を通じてセキュリティを共有責任として統合します。DevSecOps とは、アプリケーションとインフラストラクチャのセキュリティを、開始時点から考慮することです。また、DevOps ワークフローの速度が低下しないように、一部のセキュリティゲートを自動化することも必要です。セキュリティ機能を搭載した統合開発環境 (IDE) を全員で使用するなど、継続的にセキュリティを統合するための適切なツールを選択すると、このような目標を達成しやすくなります。

Red Hat Advanced Cluster Security for Kubernetes は、セキュリティチェックをソフトウェア・サプライチェーンと開発者ワークフローに統合し、リスクの高いセキュリティ問題を検出して修正できるようにします。また、開発者に既存のワークフローでセキュリティコンテキストを提供することにより、DevOps でのセキュリティを自動化します。 

Red Hat® Advanced Cluster Security for Kubernetes でのセキュリティ・ガードレールの統合についての詳細

ソフトウェア・サプライチェーンのセキュリティとアプリケーションのセキュリティ

ソフトウェア・サプライチェーンは、コードに関わるすべてのものや人で構成されていますが、アプリケーションのセキュリティはコード自体を攻撃や脆弱性から保護します。ソフトウェア・サプライチェーンのセキュリティと同様に、アプリケーションのセキュリティは開発のあらゆるステップで適用する必要があります。 

アプリケーションのセキュリティは、システムへの不正アクセスの防止とプロプライエタリーなデータの保護を目的として、ソフトウェア開発ライフサイクルから始まり、アプリケーションライフサイクル全体に及びます。サプライチェーンの整合性を強化すると、アプリケーションのセキュリティが向上します。攻撃者によるアプリケーションの侵害を防ぐ方法には、構成の強化、攻撃対象領域の最小化、パーミッションの制限、ソフトウェアの署名、システムのさまざまな部分へのビルドの分散などがあります。

ソフトウェア・サプライチェーンの脅威の緩和

ソフトウェア・サプライチェーンのセキュリティは、組織、顧客、そしてオープンソースのコントリビューションに依存するすべての組織にとって重要です。侵害されることを望む組織も、他の組織が同様の事象に遭遇した場合の原因になりたい組織もありません。そのために重要なのが、ソフトウェア・サプライチェーンを保護することです。  

セキュリティチームが考慮すべきセキュリティのベストプラクティスの概要は以下のとおりです。

  • サプライチェーン全体のリソース (開発者用ツール、ソースコードリポジトリ、その他のソフトウェアシステムなど) に対して最小権限のアクセスを付与し、多要素認証を有効にし、強力なパスワードを使用します。
  • 従業員向けに定期的なセキュリティトレーニングを実施します。
  • 接続されたすべてのデバイスと機密データのセキュリティを強化します。
  • 自社のサプライヤーおよび取引会社を把握します (ティア 1 サプライヤーから始めます)。リスクアセスメントを実施して、各サプライヤーのサイバーセキュリティ体制と、脆弱性に関する公共政策を評価します。
  • システムを定期的にスキャンして、脆弱性のあるシステムにパッチを適用します。

開発者は、安全なコーディング手法、ロックファイルの使用、その他のセキュリティ重視の取り組みなども考慮する必要があります。

  • チェックサムを検証します。
  • ソース管理にベンダー依存関係を含めます。
  • ソフトウェア部品表 (SBOM) を発行し、利用します。
  • 以下を含む SLSA (Supply-chain Levels for Software Artifacts) を採用します。
    • ソフトウェア・アーティファクトにデジタル署名を付与し、出所を認証する機能。
    • プロセスとポリシーの自動化の活用。
  • ソフトウェア・コンポジション分析 (SCA)、静的アプリケーション・セキュリティ・テスト (SAST)、動的アプリケーション・セキュリティ・テスト (DAST) などの自動化されたセキュリティテスト・ツールでソフトウェアをスキャンします。

ソフトウェア・サプライチェーンのセキュリティに関する世界的なトレンドを知る

Red Hat を選ぶ理由

Red Hat はソフトウェアコンポーネントと依存関係をソフトウェア開発ライフサイクルの早期段階でセキュリティ保護する必要性を理解しており、DevSecOps プラクティスを通じてあらゆる段階でセキュリティの統合を自動化します。  アップストリームのサプライチェーンの理解と、24 時間 365 日頼れる製品の提供は Red Hat にお任せください。  Red Hat とそのパートナーは、専門知識と包括的な DevSecOps エコシステムを備えており、お客様がソフトウェア開発ライフサイクル全体にソフトウェア・サプライチェーン・セキュリティを実装できるよう支援する能力を提供します。

Red Hat® Advanced Developer Suite の詳細

Red Hat 公式ブログ

Red Hat のお客様、パートナー、およびコミュニティのエコシステムに関する最新の情報を入手しましょう。

すべての Red Hat 製品のトライアル

Red Hat の無料トライアルは、Red Hat 製品をハンズオンでお試しいただける無料体験版です。認定の取得に向けた準備をしたり、製品が組織に適しているかどうかを評価したりするのに役立ちます。
関連情報

関連情報

コンフィデンシャル・コンピューティングとは

コンフィデンシャル・コンピューティングでは、データが保管または転送中の状態ではないとき、つまり実際にデータを使用しているときに、ハードウェアベースのコンピューティングでデータを保護します。

SPIFFE および SPIRE とは

SPIFFE と SPIRE は、動的で多様なコンピューティング環境における ID 管理のためのオープンソース・プロジェクトです。この 2 つを組み合わせることで、多くのセキュリティ問題が解決されます。

ゼロトラストとは

ゼロトラストとは、あらゆる通信は信頼できない状況で開始されるという前提に基づいてセキュリティ・アーキテクチャを設計するアプローチです。これについて詳しく説明します。

セキュリティリソース

関連するコンテンツ

関連記事