Last Updated on 2024-06-26 20:33 by 荒木 啓介
ソフトウェアサプライチェーンのセキュリティに関する法的な圧力と規制が増加している。ソフトウェアサプライチェーンは攻撃者にとって魅力的なターゲットであり、2021年のLog4jの侵害がその例である。このセキュリティは複雑で分散した性質を持ち、困難である。対策として4つのガイドラインが提案されている。
ソフトウェアビルドの透明性を確保するためには、ソフトウェアの構成要素を明確にするSBOMが重要である。SBOMはソフトウェアのコンポーネントの問題やゼロデイの脆弱性の修復に不可欠である。
ソフトウェアサプライチェーン全体でのガバナンスは、セキュリティとコンプライアンスを確保するために重要である。ポリシーに基づくガバナンスは、アクセス権限やOSSの使用など、さまざまな要素に対して柔軟に適用できる。
ソフトウェアアーティファクトの信頼性を確保するために、SLSAフレームワークが開発された。SLSAフレームワークは、ソフトウェアの起源やビルドの情報を検証し、セキュリティのリスクを低減するための手段を提供する。
【ニュース解説】
ソフトウェアサプライチェーンのセキュリティに関する法的な圧力と規制が増加している背景には、ソフトウェア開発のプロセスが複雑化し、分散化している現状があります。ソフトウェアサプライチェーンとは、ソフトウェアの開発や配信に関わるすべてのコード、人、システム、プロセスの総体を指します。このサプライチェーンは、開発者が世界中に分散しており、オープンソースの依存関係やコードリポジトリ、CI/CDパイプライン、インフラストラクチャリソースなど、前例のない数の要素を使用してアプリケーションを構築、展開しているため、セキュリティの確保が非常に困難です。
このような背景の中、2021年に発生したLog4jの脆弱性を悪用した攻撃は、ソフトウェアサプライチェーンが攻撃者にとって魅力的なターゲットであることを示す一例です。この攻撃では、広く使用されているオープンソースのログ記録フレームワークであるLog4jの脆弱性を突かれ、数千のシステムが危険にさらされました。
このような問題に対処するため、ソフトウェアサプライチェーンのセキュリティを強化するための4つのガイドラインが提案されています。まず、ソフトウェアの構成要素を明確にするために、ソフトウェアビルオブマテリアルズ(SBOM)の作成と管理が重要です。SBOMは、ソフトウェアを構成するすべてのオープンソースやサードパーティのライブラリ、依存関係、コンポーネントをリストアップしたもので、ゼロデイの脆弱性やその他のコンポーネントの問題を修復する際に不可欠です。
次に、ソフトウェア開発ライフサイクル全体でのガバナンスをポリシーに基づいて行うことが重要です。これにより、セキュリティやコンプライアンスを損なうエラーや意図的な行動を排除するための堅固なガードレールを設定できます。
さらに、ソフトウェアアーティファクトの信頼性を確保するために、SLSAフレームワークの採用が推奨されます。SLSAフレームワークは、ソフトウェアの起源やビルドの情報を検証し、セキュリティのリスクを低減するための手段を提供します。
これらのガイドラインを実践することで、ソフトウェアサプライチェーンのセキュリティを強化し、攻撃者による悪用のリスクを減らすことができます。しかし、ソフトウェア開発のプロセスが日々進化しているため、セキュリティ対策も常に更新し続ける必要があります。このような取り組みは、企業だけでなく、社会全体のサイバーセキュリティを向上させるためにも重要です。
from Practical Guidance For Securing Your Software Supply Chain.
