原文のブログはこちらからご覧いただけます。
ソフトウェアサプライチェーンのセキュリティ:ベンダーへの信頼に基づく保護が不十分である理由
(本記事は、2023 年 1 月 27 日に CPO Magazine で公開された Cybersecurity Insights コラム「Why Securing Software Should Go Far Beyond Trusting Your Vendors」を許可を得て抜粋したものです。記事全文はこちらでご覧いただけます。)
もしあなたがハッカーなら、可能な限りの大損害をもたらすために何をするでしょう。
大規模なフィッシング、あるいは重要インフラへの攻撃でしょうか。ソフトウェアサプライチェーンを攻撃するという手もあるかもしれません。というのも、何千もの企業がある 1 社のベンダーからソフトウェアを購入している場合、そのベンダーを狙えばすべての顧客を同時に攻撃できるためです。
言うまでもなく、これは 2020 年の SolarWinds 社のハッキング事件で起きたことです。当時、攻撃者は同社の IT 監視・管理ソフトウェア Orion に悪意のあるコードを展開し、世界中の企業や政府機関からなる何千もの顧客を攻撃していました。これはおそらく史上最大級のサイバー攻撃と言えるでしょう。
この攻撃の成功は「信頼」に帰することができます。つまり、ベンダーのセキュリティが確保されていると信頼する企業があまりに多く、潜在的な攻撃に対する保護がおろそかになっていたということです。ISACA の調査では、回答者の半数以上がプロバイダーに対する脆弱性スキャンや侵入テストを実施しておらず、39% がサイバー攻撃に備えたサプライヤーとのインシデント対応計画を策定していませんでした。また Gartner 社の調査では、経営幹部の 60% が、自社のサプライチェーンが強靭性ではなくコスト効率を重視して設計されていることを認めています。
企業が攻撃を受けていないのであれば、この設計は理にかなっています。しかし BlackBerry の新たな調査では、IT 意思決定者の 5 人に 4 人が、過去 12 か月間に自社のサプライチェーンに対する攻撃や脆弱性の報告を受けていました。
これは、私たちがそうゆったりと構えてはいられないことを示しています。ベンダーへの信頼に基づくセキュリティでは不十分なのです。以下で詳しく見ていきましょう。
サプライチェーン攻撃が致命的である理由
ソフトウェアサプライチェーン攻撃は、今日のサイバー犯罪者が用いる戦略の中でも特に破壊的なものです。
BlackBerry の調査では、サプライチェーン攻撃の被害を受けた企業の 10 社に 6 社(59%)が業務に大きな支障をきたしたと報告し、58% がデータの損失、52% が評判への影響を報告していました。また、10 社中 9 社(90%)が復旧に最大 1 か月を要していました。「時は金なり」とも言うように、ソフトウェアサプライチェーン攻撃を受けることはやはり手痛い出費を伴う経験となります。
この攻撃がこれほど大きな破壊をもたらすのはなぜでしょうか。それは、今日作成・販売されているソフトウェアの多くがオープンソースのコードに基づいており、その公開性ゆえに侵害されやすくなっているためです。もちろんベンダーはこうしたコードをチェックすべきであり、また調査によると、IT チームはベンダーが実際にそうしていると考えています。多くの企業は、サプライチェーンのパートナーが少なくとも自社と同程度に強固なポリシーを導入していると確信しているのです。
しかし、米国内外におけるサイバーセキュリティのスキル格差が慢性化する中、このデューデリジェンスが行われていることを買い手側が保証することは可能なのでしょうか。また、購入するコードのそれぞれをチェックするために時間とリソースを費やせるのでしょうか。おそらく不可能です。これでは、ソフトウェアサプライチェーン攻撃がこれほど成功しているのも無理はありません。
ソフトウェアサプライチェーンを攻撃から守るためには、システム内のどの要素が攻撃され得るかを把握する必要があります。BlackBerry の調査では、回答者の 4 分の 3 以上(77%)が、過去 12 か月間にソフトウェアサプライチェーンでそれまで見たことのない関係者(重要なセキュリティ基準の遵守について監視されていない事業体)を発見したと答えています。企業がデータの暗号化やアイデンティティアクセス管理(IAM)、セキュアな特権アクセス管理(PAM)フレームワークを厳格に使用している場合でさえ、このような状況なのです。この結果、悪意のあるコードが長年にわたって死角に置かれ、攻撃者の意図したタイミングで悪用可能な状態が生じます。
米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、国家安全保障局(NSA)、国家情報長官室(ODNI)は最近、ソフトウェアサプライチェーンの保護に関する顧客向けの推奨事項を示した実践ガイドを公開しました。こうした取り組みは積極的なサイバーセキュリティ姿勢の実現につながるもので、企業がパートナー、ベンダー、サプライヤーから独立して自社を保護することに役立っています。完全に独立した企業というものは存在しませんが、この姿勢がソフトウェアサプライチェーン攻撃の予防に役立つことは間違いありません。
ソフトウェアサプライチェーン攻撃を予防するためにできること
まず行うべきは意識向上ですが、ソフトウェアサプライチェーン攻撃を阻止し、それに付随する従業員や顧客への評判、コスト、時間的な被害を予防するためには、行動が鍵となります。
企業への直接的な攻撃であれ、ソフトウェアサプライチェーンを介した攻撃であれ、攻撃を予測、予防、発見して対処するためには、企業がネットワークやエンドポイントの潜在的な脆弱性のすべてを完全かつ詳細に把握する必要があります。このための有効な選択肢となるのが、XDR(拡張型の検知/対処)ツールです。XDR は複数のソースからのデータを収集・解析し、組織が攻撃を予防する上で必要となる可視性と事前対策を 24 時間 365 日体制で提供します。しかし新たなデータによると、IT およびサイバー関連の意思決定者の 4 分の 3 以上が、現状ではセキュリティ体制を包括的に可視化できていないと報告しています。これには変革が必要です。広がりを見せる現在の脅威環境では、攻撃の発生源に関わらず、あらゆる攻撃に対する予防ファーストのアプローチが欠かせません。
サイバー関連のスキル不足に苦しむ業界においては、防御の強化というこの要請は無理難題と思われるかもしれません。しかし、サイバー攻撃の発生時に XDR のようなテクノロジー(特にマネージドサービスとして提供されているもの)を活用すれば、対応と修復のスピードが大幅に向上し、セキュリティチームが重大イベント管理システムの起動といった重要な役割に注力できるようになります。
実際、BlackBerry の調査では、社内のセキュリティ関係者や外部のパートナーと連絡を取るための統合イベント管理システムを望んでいる IT リーダーが 63% に上ります。こうしたシステムは、被害が深刻化しかねないサプライチェーン攻撃の影響を軽減する上で極めて重要な要素です。しかし、この種のコミュニケーションシステムを導入している企業は 5 分の 1 以下(19%)にとどまります。また同様に、攻撃が発生した際には、サイバーチームが外部委託先のインシデント対応チームと緊密に連携する必要があります。一般に、より緊密かつ迅速な連携ははるかに優れた結果につながります。
最後に、オープンソースソフトウェアを攻撃から守るための新たな法制に支持を表明することは、間違いなく意義のある行動です。BlackBerry の調査では、回答者の約 4 分の 3(72%)が、政府によるオープンソースソフトウェアの監視強化を望むと答えています。また、回答者の 71% が、サプライチェーンにおけるソフトウェアライブラリのインベントリ管理を改善し、脆弱性の影響を受けるソフトウェアの可視性を高めるツールがあると望ましいと答えています。しかし、これが個々の企業にとっての答えの一部に過ぎないことは明らかです。第一の戦略とすべきなのは、企業が自ら身を守ることです。
自社を信頼すること。ただし、サポート要請を厭わないこと
ソフトウェアサプライチェーンを介したサイバー攻撃の脅威は、依然として私たちの目前に迫っています。そのため、企業は直ちに予防と対応の戦略を計画する必要があります。
ソフトウェアサプライチェーン攻撃は、今日のサイバー犯罪者が用いる戦略の中でも特に破壊的なものです。BlackBerry の調査では、59% の企業が業務に大きな支障をきたしたと報告しています。
たしかに、企業がソフトウェアをハッキングから守るためには自社を信頼できる必要があります。しかし、だからといって負担を抱え込む必要はありません。24 時間 365 日体制の専門サポートに支えられたAI 技術に基づくソリューションを活用すれば、安全なソフトウェアサプライチェーンに対する信頼を再構築できます。
結局のところ、自社がどのような組織であることを望むかです。一挙にハッキングされてしまう何千もの企業のひとつでしょうか。そうではなく、巧妙性の高い攻撃に直面しても、予防ファーストのアプローチで足場を固め、立ち向かえる企業でしょうか。
記事全文は CPO Magazine でご覧いただけます。
関連記事
- Accountability in Cybersecurity: Save Money, Reduce Cyber Risk
- Cybersecurity's Top 3 Opportunities for 2023
- ソフトウェアサプライチェーン攻撃の脅威!その5 分の 4 が、過去 12 か月間にサイバー攻撃にさらされていたことが明らかに
- Building Supply Chain Trust: The Importance of Conformance
- 製品のお問い合わせ:https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
- 攻撃や感染した事故対応はこちらまで サイバーセキュリティチームによるコンサルティングサービス: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview
- AIを使ったランサムウェア対策: https://www.blackberry.com/ja/jp/solutions/malware
- BlackBerry Japan:https://www.blackberry.com/ja/jp
- Facebook(日本語): https://www.facebook.com/watch/BlackBerryJPsec/
- Twitter(日本語): https://twitter.com/BlackBerryJPsec
- LinkedIn: https://www.linkedin.com/company/blackberry/
- YouTube(日本語): https://www.youtube.com/channel/UCT2VHYwfUVC4V0AnkVZ2QIg/videos
.png)
