ソフトウェアサプライチェーン攻撃との戦い
DigiCert® Software Trust Manager に、ReversingLabs が開発した脅威検出機能とソフトウェア構成表(SBOM)機能が追加されます。顧客は、ソフトウェアに存在する脅威や脆弱性を、署名する前に安全に検出できるようになります。
ソフトウェアサプライチェーン攻撃は増え続けています。MSI、Intel、Microsoft、CircleCI、3CX といった大手テクノロジー企業も先日ソフトウェアサプライチェーン攻撃を受けており、SolarWinds、Asus、Codecov、Docker Hub、A.P.、Moller-Maersk などといった従来の犠牲者に名前を連ねることになりました。今や誰も無縁ではいられないのです。
ガートナーが発表した最近のレポートによると、2025 年までに世界中の企業の 45% がソフトウェアサプライチェーン攻撃を経験すると予測されています。また別の業界レポートでも、ソフトウェアサプライチェーン攻撃は過去 3 年間で 742%(誤字ではありません!)も増加したという報告があります。
ソフトウェアサプライチェーン攻撃といっても、その手法はさまざまです。なかには、保護されていないコード署名鍵を狙い、それをダークウェブで販売したり、マルウェアへの署名に悪用したりする手法もあります。
一方、企業のソフトウェア開発ライフサイクルに存在する脆弱性を利用して、企業のソフトウェア製品に人知れず直接マルウェアを挿入するインフラストラクチャを構築する攻撃もあります。あるいは、マルウェアに感染したサードパーティ製ソフトウェア(オープンソースソフトウェアなど)を、組織が知らずに自社製品に組み込んだときに発生する攻撃もあります。
このように攻撃の手口は多様ですが、攻撃された企業への影響は同じです。顧客の信頼と評判、収益を失ったり、顧客や企業の機密データを奪われたりします。
薬剤耐性をもち絶えず変異するウイルスと同様、ソフトウェアサプライチェーン攻撃というこの世界的なパンデミックに対しても、予防的な治療への多面的なアプローチが必要です。政府や業界団体からは、多くの提言が発表されています。
たとえば米国政府は、2021 年に大統領令 EO14028「Improving the Nation's Cybersecurity(国家のサイバーセキュリティの強化)」を発表し、国立標準技術研究所(NIST)によって「Software Supply Chain Security Guidance(ソフトウェアサプライチェーンのセキュリティに関するガイドライン)」が作成されるに至りました。それを受けて、国防総省も「Securing the Software Supply Chain Recommended Practices Guide for Developers(ソフトウェアサプライチェーンの保護に関する開発者向け推奨手順ガイド)」で発表しています。また、米国行政管理予算局も覚書 M-22-18 を発表。「連邦各機関は『機関によって、または機関に代わって収集または維持される情報(中略)』のどちらについてもセキュリティ保護を実施するよう求め」ています。これは、米国政府にソフトウェアを納入する際、そのソフトウェアやサービスのセキュリティを証明しなければならないプロバイダーに、直接的な影響を与えるものです。
これほど拡大しているパンデミックに対応しているのは、もちろん米国だけではありません。欧州連合(EU)とその加盟各国、英国、日本なども同様の方針を打ち出しています。
一方、ソフトウェアサプライチェーン攻撃に対処するために、さまざまな治療対策が開発されています。いずれも、攻撃の検出と防止に対して独自の機能を備えていますが、どれかひとつで間に合うことはまずありません。動的アプリケーションセキュリティテスト(DAST)、静的アプリケーションセキュリティテスト(SAST)、ソフトウェア構成解析、安全なコード署名、SBOM などは、これまでに登場した対策のほんの一例です。
場合によっては、ソフトウェアサプライチェーンのセキュリティに取り組もうとして、パッチワークのようなアプローチをとる組織もあります。たとえば、あるチームが A という技術に大きく依存する一方、同じ組織の別のチームは B という技術に依存しているといった状態です。このように全社的な連携を欠いていると、組織は攻撃に対して脆弱になり、悪くすれば企業セキュリティの責任者が誤った安心感に浸ってしまうことにもなりかねません。
一例として、コード署名について考えてみましょう。これは30 年以上前から企業が利用してきたセキュリティ技術です。この技術が十分に機能したのは、コード署名の秘密鍵を盗みさえすればいいということを攻撃者が発見するまでのことでした。企業は、コード署名鍵をハードウェアセキュリティモジュール(HSM)などの安全な保管場所に移動することでこれに対処しています。ところが、攻撃者はこれを回避します。フィッシングなど他の手法を使って、秘密鍵へのアクセスに必要な認証情報にアクセスするのです。今や企業は、秘密鍵を安全に保管するだけではなく、安全なコード署名プロセスを実装しなければなりません。鍵のセキュリティ、ロールベースのアクセスおよび制御、一元的なポリシー定義、コード署名活動に関して反論の余地のないログといった手法です。
変異するウイルス、そして時間とともに進化する複数の治療法を用いる医療アプローチ。この両者の関係と同様、ソフトウェア業界もソフトウェアサプライチェーン攻撃に対抗すべく同じような対応が必要です。
デジサートが、企業向けに強化された安全なコード署名ソリューションとして提供しているのが、DigiCert Software Trust Manager です。Software Trust Manager を使うと、ソフトウェアチームの所在にも、チームが使うプログラミング言語やプラットフォームの種類にも、またチームが開発するソフトウェアの種類(クラウドネイティブ、組み込みデバイス、モバイルアプリなど)にもかかわらず、全社的にコード署名を一元管理することができます。実際、これまで攻撃者に悪用されてきたコード署名プロセスの脆弱性がいくつか解消されており、特に企業全体で安全なコード署名ポリシーを徹底するという観点を貫くことができます。
といっても、ソフトウェアに署名するときには一定の前提条件があります。署名するソフトウェアにバグやマルウェアその他の脆弱性が存在しないこと、改ざんされていないこと、どのようなコンポーネントが使われているか(ちなみに、これが SBOM の必要性を促した新しい規制要件です)をソフトウェアチームが正確に把握していることなどです。
顧客の声を聞くと、ソフトウェアに対する脅威の検出がいかに重要か、そしてそれをセキュリティワークフローに統合することがなぜ重要かがよくわかります。それだけでなく、さまざまなソフトウェアアプリケーションを開発している各ソフトウェアチームが簡単に利用できる必要があり、ソフトウェアチームの生産性に影響を与えないこと(CI/CD パイプラインの速度低下など)も重要であるといいます。
そのほかセキュリティチームからは、企業全体のセキュリティポリシーを規定できる一元的な作業環境も求められています。コード署名プロセスのポリシー、脅威や脆弱性に対するディープバイナリスキャンを要求するポリシー、新しい規制要件を満たせる包括的な SBOM の作成などに必要だからです。
デジサートは、ソフトウェアサプライチェーンセキュリティのリーダーである ReversingLabs との提携を発表しました。ReversingLabs の高度なバイナリ解析と脅威検出を、デジサートによるエンタープライズクラスの安全なコード署名ソリューションと組み合わせてソフトウェアセキュリティを強化する提携といえます。デジサートのお客様には、ソフトウェアの完全性向上というメリットがあります。それを実現するのが、マルウェア、埋め込みソフトウェア、ソフトウェア改ざん、秘密漏洩などの既知の脅威がないかどうかを、安全に署名する前に確認できる深層解析です。
デジサートは、ReversingLabs の技術を、新しい DigiCert Software Trust Manager Threat Detection に統合しました。この新しい機能の販売とサポートはデジサートが担当します。Software Trust Manager のワークフローに統合され、チームに一元的な管理性と可視性を提供します。
Software Trust Manager Threat Detection は、組織全体で集中管理される単一のワークフローを実現します。また、内部開発されたソフトウェアから、オープンソースや商用ライセンスソフトウェアなども含めたサードパーティ製ソフトウェアまでを網羅する包括的な SBOM が生成されます。
ソフトウェアサプライチェーンに対する攻撃の増加に伴って、脅威の検出と SBOM の生成はますます重要性を増しています。そして、政府や業界による規制の焦点にもなっています。
COVID-19 のパンデミックを受け、この数年の間に世界中でさまざまなツール、治療方法、予防策が発展してきました。それとまったく同じように、ソフトウェアサプライチェーン攻撃に対しても、企業は複数のセキュリティ対策を採用しなければなりません。デジサートと ReversingLabs のパートナーシップは、その実現に向けた重要な一歩となるものです。
デジサートウェビナーでは、デジタルトラストを維持し、安全なソフトウェアエコシステムを確保するために必要な課題と戦略、ソリューションについて当社の専門家がパネルディスカッションを展開しました。録画(英語)はこちらから入手できます。