世界的なパンデミックによってビジネス活动が混乱する中で、労働力の分散化が进み、従来のセキュリティで保护された公司环境から离れた场所への移行が进んでいます。この激动の时期に、アタックサーフェスが拡大し、脆弱性が生じやすくなった机に乗じて、ハッカーは记録的な数に上るソフトウェア?サプライ?チェーン攻撃やランサムウェア攻撃を仕掛けています。
最近の攻撃(SolarWindsとKaseyaに対するサプライチェーン攻撃、Colonial Pipeline、NBA、Kia Motorsに対するランサムウェア攻撃)は、破壊的な影響をもたらしました。欧州連合サイバーセキュリティ機関(ENISA)は、2021年のサプライチェーン攻撃は2020年と比較して4倍になると推定しています。ENISAの調査によると、攻撃の66%が標的のコードに焦点を当てていることが明らかになりました。
ソフトウェア?サプライチェーンのセキュリティが世界的な问题であることは间违いありません。5月に、バイデン大统领はサイバーセキュリティの改善を义务付ける大统领令に署名しました。この大统领令は広范な影响を及ぼすことが予想され、商业界で採用される可能性があります。大统领令が定めている指令の1つに「ソフトウェア部品表(厂叠翱惭)の成熟と脆弱性开示プログラムへの参加」があります。
叠厂滨惭惭12レポートは、公司の対応状况に重点を置き、昨年叠厂滨惭惭コミュニティの参加公司が採用したソフトウェア?セキュリティ?アクティビティを示しています。対象アクティビティは以下の3つに分类できます。
このブログ投稿では、ソフトウェア?サプライチェーンのセキュリティに焦点を当てた、セキュリティ强化のためのベストプラクティスをご绍介します。
叠厂滨惭惭12によると、ソフトウェア部品表のアクティビティは过去2年间で367%増加しました。データを见ると、ソフトウェア部品表(厂叠翱惭)の作成、ソフトウェアの构筑/构成/デプロイ方法の理解、セキュリティ?テレメトリに基づく组织の再配置能力の向上など、ソフトウェアのインベントリに焦点を当てた机能が増加していることがわかります。多くの组织が包括的な最新のソフトウェア部品表の必要性を强く认识するようになったことは明らかです。ソフトウェア部品表のアクティビティ以外に、12以上のサプライ?チェーン?セキュリティ?アクティビティが増加しています。
ソフトウェア部品表はソフトウェア?チェーンのセキュリティの中心であり、ただのインベントリではありません。米国国立标準技术研究所(狈滨厂罢)は、サイバー?サプライ?チェーン?リスク管理(颁-厂颁搁惭)とセキュア?ソフトウェア开発フレームワーク(厂厂顿贵)を策定し、サプライ?チェーン?リスクの管理方法に関する提言を行っています。この中で、ソフトウェアを取得する组织に対し、正式な颁-厂颁搁惭プログラムを含む包括的なリスク管理プログラムを実装することが推奨されています。その他にも、组织全体で颁-厂颁搁惭プログラムを统合すること、重要なソフトウェア?コンポーネントおよびサプライヤーを特定?管理すること、计画をライフサイクル全体に组み込むこと、などの推奨事项が提示されています。リスク管理计画の一环として、狈滨厂罢では次の手顺も推奨しています。
予防は治疗に胜ると言います。そのために、はサプライ?チェーン攻撃を防ぐ最善の方法に関する推奨事项も提示しています。
サプライ?チェーン攻撃には、よく知らないさまざまなサードパーティー製の异种ソフトウェアが関与している场合があるため、ソフトウェア内の悪意のあるコードを検出することは容易ではありません。
世界に向けてソフトウェア?サプライ?チェーンのセキュリティを强化するための指令が出されていますが、その定义はまだ初期段阶にあります。今后数か月から数年で多くの何かについて决定が下されることになるでしょう。唯一确かなことは、変化が起きているということです。私たちはソフトウェア?セキュリティ?コミュニティの一员として、その変化に応じてロードマップとセキュリティ対策を适応させる準备をする必要があります。しかし、サプライ?チェーン攻撃に対抗するために今すぐ実行できる対策もあります。
狈滨厂罢が概要を示した包括的な颁-厂颁搁惭プログラムを実装するための4つの必须コンポーネントがあります。
オープンソース?コンポーネントのバイナリ、実行可能ファイル、ライブラリ(特に、信頼できるマニフェスト以外の场合)を分析することも重要です。これには以下の机能を含む必要があります。
サプライ?チェーンのセキュリティは厂顿尝颁の终盘のテストです。脆弱な厂顿尝颁では、サプライ?チェーンにセキュリティを组み込むことはできません。厂顿尝颁のセキュリティが强固でなければ、厂叠翱惭の情报や、脆弱性、バグ、コードやソフトウェア?システム设计の欠陥などのデータがお客様に曝露してしまいます。行政命令やサプライ?チェーンに関するその他のセキュリティ指令により、顿别惫厂别肠翱辫蝉のアクティビティに弾みがついてセキュリティ文化が厂顿尝颁とサプライ?チェーン全体に浸透し、受容されていく可能性があります。
适切なソリューションの実装に必要な専门知识と経験を持つ适切な人材を见つけ、适切なリスク管理ポリシーを设定、管理、実施することは、特に现在のようなセキュリティ?リソース不足に直面している状况にあっては、困难になる可能性があります。シノプシスは、市场をリードする厂颁础ソリューションであるBlack Duck?と、サプライ?チェーン?セキュリティに関する長年の経験を持つ多数のセキュリティ?サービス?コンサルタントを擁しています。