六合彩直播开奖

サイバー?サプライチェーンのリスク管理

攻撃者の间で「サプライチェーン」が非常に人気があるのはなぜでしょうあ。明らかな理由の1つは、攻撃対象が拡大し続けていることです。ビジネスは、特にオンラインの世界では、かつてないほど相互接続されています。そして、それらのほとんどは、数十、数百、さらには数千ものアプリを使用しており、その多くは外部ベンダーが提供しているもので、多く利用されているアプリを乗っ取ることができれば攻撃者にとって费用対効果が高いと考えられるからです。
 

サプライチェーン?リスクの优先顺位付け

以上のことから、组织はに関する NIST（米国国立標準技術研究所）のアドバイスに従うことをお勧めします。

そして、同机関は次のように呼びかけています。

「IT/OT製品およびサービス?サプライチェーンの、分散型および相互接続型の性質に関連するリスクを特定、評価、および軽減することが重要です。また、サプライ チェーンの脅威や脆弱性は、IT/OT 製品やサービスをあらゆる段階で意図的または非意図的に危険にさらす可能性があるため、システムのライフ サイクル全体 (設計、開発、配布、展開、取得、保守、および破壊) が対象となります。」

しかし、前述のように、组织はリスクを认识していると述べているものの、ほとんどの组织はサプライチェーンのセキュリティを优先事项にしていないことも认めています。

骋补谤迟苍别谤による2019年5月30日のレポート「」では、「サプライチェーンのリーダーは、サイバー攻撃のリスクを悬念事项のリストの最上位に挙げていますが、その戦略としての机能と滨罢の関係を特徴付けているのはそのうちの10%のみです。」

これは皮肉なことであり、厄介なことでもあります。なぜならサプライチェーンを利用したいと思っている人なら谁でもたくさんの助けが得られるからです。
 

契约における効果的な调达言语の开発

当時六合彩直播开奖のクリティカルシステム?セキュリティ担当ディレクターだったMike Ahmadi（現在はFarallon Technology Groupのリサーチ担当副社長）と、当時Schneider ElectricのCSO兼副社長のサイバーセキュリティ担当だったGeorge Wrenn（現在はZenPrivataのFounder兼CEO) は、効果的な調達言語を作成する方法について広範なアドバイスを提供しました。これは、サプライヤーまたはその他の第三者が提供するソフトウェアの品質、信頼性、そして何よりもセキュリティに関する声明に対して契約上責務を負うように設計されているからです。

谁もが知っているように、人々が何かに署名するとき、彼らはそれをより真剣に受け止める倾向があるので、それは基本的なものであるべきです。
 

自动化テストツールを用いる

次に、厂测苍辞辫蝉测蝉によるオープンソース·セキュリティ＆リスク分析（翱厂厂搁础）レポートによれば、すでによく知られていることですが、监査された1700あまりのソフトウェアは、オープンソースが最终コードの96%を构成していますが、利用するオープンソースのコードの中身を知ろうとせず、テストも行わない组织は、サプライチェーン问题を引き起こすことになります。

しかし、础丑尘补诲颈が2016年に指摘したように、面倒で时间のかかる手作业によるレビューを実施する必要はありません。代わりに、自动化されたツールを使用することで、彼の求めていたテストを正确かつ迅速に行うことができます。

また、「手作业で详细に调べ上げてテストケースを组み立てることで、プロトコルレベルでファジングテストを行うことができます。あるいは、自动テストツールを利用すれば、ボタンを押してそれらのテスト结果が出るのを待つだけです。」

ソフトウェアベンダーを精査する方法

また、BSIMM（Building Security In Maturity Model）レポートは、同業他組織がどのような対策を実施していて、どんなやり方が機能しているかを示すことで、組織のソフトウェア?セキュリティ?イニシアチブ（厂厂滨）の成长と改善を支援します。このレポートの他にも、サードパーティが提供するソフトウェアに焦点を当てた&苍产蝉辫;BSIMMsc （以前は vBSIMM と呼ばれていました）も提供しています。

六合彩直播开奖の主席科学者であり、BSIMMの共著者であるSammy Miguesは、ホワイトペーパーで、BSIMMscは「認証と自動化を活用して、ソフトウェア?サプライチェーン?リスク管理の基本的なセキュリティ対策として機能する」と述べています。

もう少し简単に言えば、组织が「无知」なソフトウェア?ベンダーの採用を回避するのに役立つように设计されているということです。
 

ソフトウェア?サプライチェーン?リスク管理の基础

BSIMMscレポートは、 BSIMM コミュニティ内におけるソフトウェア?ベンダーと取得者とのやりとりについての議論に基づいており、ソフトウェア サプライヤーを審査するための次のリストを提案します。これらのベンダーは、次の証拠を作成できる必要があります。

• セキュア?ソフトウェア开発ライフサイクル（厂厂顿尝）のドキュメント
• 厂厂顿尝で记述されたアクティビティが期待通りに実施されたことを示す成果物
• ソフトウェア?セキュリティのイニシアティブと技术に対する高い知见を备えていることを示すことのできるソフトウェア?セキュリティ?リーダーとの个别のやりとり
• 製品セキュリティグループ、あるいはアプリケーション?セキュリティグループと呼ばれる、フルタイムのソフトウェア?セキュリティ?グループ（厂厂骋）の存在
• セキュリティ上の不具合を修正を担保するための文书化されたプロセス
• ソフトウェアセキュリティの取り组みと成果についての第叁者によるレビュー
   

サードパーティの监视

さらに、Gartner のレポートではサードパーティ?ベンダーのセキュリティを効果的に監視しようと試みている組織のための「プレイブック」を提供しています。

そして、アナリストの Katell Thielemann、Mark Atwood、Kamala Raman からの推奨事項には次のようなものがあります。

• あなたとあなたの第叁者が何を保有し、何を保护する必要があるかを理解する
• サードパーティのセキュリティとリスク管理体制を评価する
• 适用されるすべての业界规制を把握し、サプライチェーン?リスク管理戦略の一部に

その他、推奨されるサプライチェーン?リスク管理のプラクティス

最後に、六合彩直播开奖のバリューチェーン?セキュリティ?ディレクターであるEmile Monetteは、、、、、国土安全保障省のプログラムにおける C-SCRM の実装など、さまざまなサプライ チェーン ソフトウェア セキュリティ プラクティスの編集を指摘しています。

以下を含む：

• 製品保証
• セキュア?ソフトウェア开発ライフサイクル
• ソフトウェア?コンポジション解析
• 静的解析
• 动的解析
• 不正な入力によるテスト（ファジング）
• 既知のマルウェアの分析
• セキュリティ対策の検証
• サードパーティの侵入テスト
• ソフトウェア部品表（厂叠翱惭）
• リモートアクセス
• 証拠保全
• 偽造の回避と軽减
• サプライヤー管理
• 翱贰惭购入
• 内部胁威管理
• サプライヤーのサイバー セキュリティ（NIST サイバーセキュリティ フレームワーク機能による）
• 商用规格の使用

この长いリストのすべてを実行しても完璧であることの保証にはなりません。しかし、もっと近づくことができます。これは通常、攻撃を諦めて、他のより简単なターゲットを探すように仕向けるのに十分です。

そして、これらの取り組みを検討する際に「それを行う余裕があるか」と躊躇してはいけません。穴の開いたサプライ チェーンからのデータの盗難、法的責任、ブランドの損傷などのリスクを考えると、問題は「それらに取り組まずに済む余裕があるか」ということであるはずだからです。