原文のブログはこちらからご覧いただけます。
複雑さがセキュリティの敵だとすると、現在のソフトウェアサプライチェーンは困難な状況にあると言えます。組織が製品やサービスを構築する際、サードパーティのコンポーネント、オープンソースコード、外部ベンダーに依存することで、サプライチェーンはより複雑化してきました。
当社が数多くの大きなインシデントから見てきたように、ソフトウェアサプライチェーンの複雑さが増すことで、悪意あるアクターが悪用しようと必死に探し求める数々の脆弱性が生じます。そこで、1 つの疑問が浮かびます。組織はビジネス運営を維持しながら、ソフトウェアサプライチェーンのセキュリティリスクにどのように対処できるかという疑問です。私は、BlackBerry の製品セキュリティ担当バイスプレジデントの Christine Gadsby と、まさにこのトピックについて議論しているときに、いくつかのアイデアが明らかになりました。
議論の全体については下の動画をご覧いただくか、以下の3 つのトレンドに関する記事をお読みください。
ソフトウェアサプライチェーンのセキュリティに関して注目すべき第一のトレンドは、テレメトリーと可視性に関するものです。Gadsby はこれを根本的な問題であると言います。
「最大の課題の 1 つとして、組織は多くのテレメトリーに関する問題に直面しているということが挙げられます。組織はソフトウェアウィジェットの構築や販売を行っていますが、そのウィジェットの中に何が含まれているかを本当の意味で把握してはいないのです。そのためウィジェットがリリースされて誰かが侵入テストを行って初めて、構築や販売を行なっている会社が自社製品の中にあるとは知りもしなかったさまざまな問題が見つかることになるのです」と Gadsby は述べています。
しかし、Gadsby によると、この分野では良いトレンドも生まれつつあります。「多くの企業が、独自のテレメトリーを活用して、自社製品の攻撃対象領域についてより的確に理解しようとしています」
現在は、多くの組織が自社の SBOMS (ソフトウェア部品表)を作成しています。自社の製品に含まれるサードパーティのコンポーネントやオープンソースライブラリを把握していない限り、リスクを適切に評価し、管理することは不可能だからです。また、修正を適時提供できるようにするため、新しい脆弱性やコードの変更を定期的にモニタリングしている企業が増えています。
注目すべき第二のトレンドは、自社のソフトウェアサプライチェーンにおけるセキュリティ慣行について、サードパーティによる評価を求めるソフトウェアメーカーが増えている点です。これが明らかにするのは、ソフトウェアのセキュリティを重大な問題と認識する姿勢を前向きに示そうとしているソフトウェアメーカーはどこか、ということです。また、この点に関するソフトウェア購入者の要求も高まりつつあります。
BlackBerry は、OpenChain セキュリティアシュアランス仕様を満たした南北アメリカ大陸初の企業であり、これにより、サプライチェーンのサイバーセキュリティにおけるリーダーであることを実証しました。この認定は、ソフトウェアサプライチェーンの一部としてオープンソースの脆弱性とリスクを管理する BlackBerry の能力を示す業界最高の検証結果であり、より高いレベルのセキュリティ保証をお客様に提供します。
このようなことは他にもあると、Gadsby は述べています。「当社は最近、OpenChain の認定を更新しました。これは、お客様や自社組織を保護するためにBlackBerryが行っている数多くの取り組みの 1 つにすぎません。また、このアプローチは業界内でさらに進展すると考えています。より多くの企業が、自社の製品内に含まれる要素の全体的なサイバーセキュリティの健全性に関して、検査するようになっている状況が見受けられます」
また、Gadsby は次のように述べています。「BlackBerry が受け継いできた資産の一部は当社のサイバーセキュリティソフトウェアおよびプラットフォームに基づいています。それらは組織の保護に役立つことが実証されており、セキュリティのプロフェッショナルが好んで使用しています。しかしそれだけではなく、当社に対する評価は、セキュリティを念頭に置いたソフトウェアの構築方法にも基づいているのです」
第三のトレンドは、世界中の複数の場所で同時的に発生しています。各国政府および業界団体によるグループが、ソフトウェア開発ライフサイクル全体にわたるセキュリティ強化のために、新たな基準、ガイドライン、コンプライアンスのフレームワークを策定しつつあります。たとえば米国では、連邦政府は大統領令 14028「国家のサイバーセキュリティの強化」の指令に基づき、ソフトウェアサプライチェーンのリスクを緩和するためのベストプラクティスに沿って活動しています。これには、SBOM、NIST セキュアソフトウェア開発フレームワーク、およびその他の多数の取り組みが含まれています。
ベンダーもまた、ソフトウェアの構築と配布にたずさわる内部の開発チームと外部のパートナーの全体にわたり、堅固なソースコード保護、コード署名の慣行、アクセス制御およびモニタリングの実施に関する圧力を受けています。
Gadsby は次のように述べています。「私たちはすでに、ソフトウェアサプライチェーンのセキュリティ確保における、非常に大きな変化を目にしています。現在、セキュリティに関する責任の所在は、ソフトウェアを作成しているベンダーへと移りつつあります。説明責任は最終的なソフトウェア製品の細部についてもより強く求められるようになっており、これによって多くの有益な対話が促進されています」
現代におけるサプライチェーンのセキュリティ確保は、依然として複雑な課題としてあり続けます。しかし多くの組織では、テレメトリー、セキュリティ認定、セキュリティを高めたソフトウェア開発基準に重点を置くことにより、イノベーションへのサポートを保ちながら、自社製品におけるリスクの可視化とコントロールを確保するために前進しています。Gadsby はこう述べます。「私は楽観主義者です。私たちは正しい方向へと進んでおり、いずれ望む目的地へとたどり着けるでしょう」
サイバーセキュリティにおける楽観論はさておき、より活用の甲斐のあるものをBlackBerryはご提供できます。
このトピックのより詳しい情報については、上の動画で議論の全体をご覧ください。
同様の記事やニュースの配信を希望される場合は、BlackBerryブログの購読をご検討ください。
ご質問はこちらから、お気軽にお問合せください:https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
