ソフトウェアサプライチェーンのセキュリティとは

台所で料理をしているとき、主な食材は確かに重要です。しかし、その個々の食材がどこから来たのか、どれだけ考えることがあるでしょうか。さらに、その食材に含まれる成分にまで思いを巡らせることがあるでしょうか。

これはサプライチェーンの問題であり、この例はソフトウェアのサプライチェーンを表しています。オープンソースソフトウェアとサードパーティの依存関係は広く使用されており、ソフトウェアサプライチェーンの保護は重大です。

ここでは、ソフトウェアサプライチェーンが何によって構成されているのかを見ていきます。その過程で、ソフトウェアサプライチェーンに対する一般的な脅威を特定し、そうした脅威から保護するための基本的な戦略について説明します。

ソフトウェアサプライチェーンとは？

ソフトウェアサプライチェーンとは、ソフトウェアの完全なエコシステムを指します。その範囲は、ソフトウェアの基本的なソースコードだけにとどまらず、サードパーティのライブラリやフレームワーク、最終製品に貢献するその他のソフトウェアコンポーネントなど、開発プロセス中に統合されるすべての依存関係が含まれます。

ソフトウェアサプライチェーンには、アプリケーションの依存関係が含まれます。これらは、アプリケーションが直接使用するソフトウェアコンポーネントです。各コンポーネントが他のライブラリに依存する場合もあり、さまざまな依存関係が数十レベルにわたって網の目のように張り巡らされることがあります。

ソフトウェアサプライチェーンには、継続的インテグレーション/継続的デリバリー (CI/CD) パイプラインで使用される各種のツールも含まれます。これらは、ソフトウェアの変更をテスト、統合、ビルド、および展開するために使用するツールです。最新のCI/CDパイプラインには、世界中のベンダーや組織から提供されるオープンソースツールや専有ツールが多数使用されています。こうしたツール機能には、次のようなものがあります。

• IaC（コードとしてのインフラストラクチャ）スキャン
• コンテナイメージのスキャン
• イメージレジストリーのスキャンと統合
• Kubernetesアドミッションコントローラー
• ランタイムのイメージスキャン

ソフトウェアを構成する各コンポーネントを理解し、管理することで、ソフトウェアサプライチェーン全体の整合性とセキュリティを、より適切に維持できるようになります。

ソフトウェアサプライチェーンに対する一般的な脅威

組織がソフトウェアのセキュリティについて考えるとき、多くの場合、コードを記述するソフトウェアの部分のみに焦点を当てます。しかし、ソフトウェアを保護するということは、コードだけでなく、サプライチェーン内にも存在する可能性のある脅威に対処することを意味します。ソフトウェアサプライチェーンが直面するこのような脅威は、業務を著しく混乱させたり、機密データを危険にさらしたりする可能性があります。

脅威の侵入経路

サプライチェーンへの脅威が、侵害されたコンポーネントを介してもたらされることは珍しくありません。こうしたコンポーネントは多くの場合、改ざんされ、そうとは知らずにアプリケーション開発者やビルダーによってソフトウェアに統合されたライブラリやツールです。

プロセス間でデータやターゲットソフトウェアが転送される際に、攻撃者が弱点を悪用する場合もあります。

ソフトウェアサプライチェーン攻撃の潜在的な影響

ソフトウェアサプライチェーン攻撃は、深刻な結果につながる可能性があります。例えば、データ侵害、不正なシステムアクセス、運用上のダウンタイムなどが考えられます。ソフトウェアサプライチェーン攻撃の波及効果により、顧客の信頼を損ない、法的責任を問われ、深刻な経済的影響が及ぶ可能性もあります。

ソフトウェアサプライチェーン攻撃の注目すべき例

近年ニュースになった多くのソフトウェアサプライチェーン攻撃のうち、最も広く知られている例をいくつか紹介します。

• SolarWinds Orion Platform：攻撃者はSolarWindsネットワークに不正アクセスし、ユーザーのシステムへのバックドアを開く、悪意あるコードをOrion Platformシステムに挿入しました。その後、この悪意あるコードがソフトウェア更新プログラムの一部として統合されたため、Orion Platformを使用していた約30,000の企業や政府機関がこの更新プログラムをダウンロードしてインストールし、自身のネットワークを知らずに危険にさらしてしまいました。
• Log4j：攻撃者はJavaアプリケーションのロギングモジュールの脆弱性を悪用することで、リモートでコードを実行し、標的のマシンへのアクセスを取得しました。Log4jモジュールは、多くのApacheプロジェクト、Elastic Logstash、Minecraft、さまざまなVMware製品など、無数のアプリケーションやサーバーによって使用されていた依存モジュールであったため、この脆弱性の影響範囲は膨大でした。

ソフトウェアサプライチェーンを保護する方法

ソフトウェアサプライチェーンのセキュリティを確保するには、SDLC（ソフトウェア開発ライフサイクル）全体でセキュリティ慣行を統合する必要があります。これらのセキュリティ慣行を統合することで、設計から展開まで、ソフトウェア開発のDNAの一部として強力なセキュリティを組み込むことができます。

ソフトウェアサプライチェーンのセキュリティにおける重要なツールが、ソフトウェア部品表 (SBOM) です。SBOMは、1つのソフトウェアで使用されるすべてのコンポーネントと依存関係についての、詳細な機械可読リストです。このような透明性を確保することは、コンポーネントを効果的に追跡し、脆弱性を管理するために重要です。自動化ツールをSBOMと連携させることで、共通脆弱性識別子 (CVE) データベースなどの既知のセキュリティ問題に対して、このリストを検証できます。

コンテナスキャンも重要なツールであり、コンテナイメージ内の脆弱性を展開前に検知して修復することができます。これにより、安全性とコンプライアンスを確保したコンテナのみが本番環境で使用されるようになります。

最後に、脆弱性管理ツールと定期的な脆弱性スキャンは、ソフトウェアサプライチェーンのセキュリティにおいてきわめて重要な役割を果たします。これらのツールは、脆弱性を継続的に監視し、アラートを提供し、迅速な修復を促すことで、潜在的なセキュリティ侵害を防ぎます。

クラウドストライクでソフトウェアサプライチェーンを保護

この記事全体で、ソフトウェアサプライチェーンが何によって構成されているのかを見てきました。また、関連する一般的な脅威を取り上げ、ソフトウェアサプライチェーンのセキュリティを確保するためにプロアクティブな対策を講じることの重要性を強調しました。

CrowdStrike Falcon® Cloud Securityは、ソフトウェアサプライチェーンのセキュリティを確保するための各ツールをバンドルした、オールインワンのCNAPP（クラウドネイティブアプリケーション保護プラットフォーム）です。これには、IaCスキャン、コンテナイメージスキャン、ランタイムイメージスキャンといった機能が含まれます。このプラットフォームは、アプリケーションとそれを構成するすべてのコンポーネントを、日々直面するサイバー脅威から保護するように設計されています。

クラウドセキュリティポスチャをより深く分析するには、無料のクラウドセキュリティヘルスチェックを予約してください。Falcon Cloud Securityの詳細については、今すぐセキュリティ専門家チームにお問い合わせください。