Last Updated on 2024-02-27 12:59 by 荒木 啓介
Fortress Information Securityは、アメリカの主要な電力会社と協力して、最新のセキュリティアップデートの通知を保証し、海外からのリスクを限定するために、自動化されたパッチ通知および真正性ツールを展開しました。このツールは、パッチ管理を自動化し、パッチのインストール前にソフトウェアの身元と整合性を検証することで、パッチソースの監視に必要なリソースを減らし、電力会社の資産に悪意のある更新が導入されるのを防ぎます。
さらに、このツールは、北米電気信頼性協議会による業界受け入れのセキュリティ基準であるCritical Infrastructure Protection 007 & 010(CIP-007およびCIP-010)のコンプライアンスをサポートする効率的かつコスト効果的な方法を提供します。FortressのCEO兼共同創設者であるAlex Santosは、アメリカの敵がソフトウェアを使用してネットワークにバックドアを開けた場合、このツールがセキュリティ専門家がドアを閉じるのを助けると述べました。
Fortressの研究者は、米国の電力会社が一般的に使用する200以上のソフトウェア製品のソフトウェアビルオブマテリアルズ(SBOM)を調査し、そのソフトウェアの90%がロシアまたは中国に公然と連携している開発者からのコンポーネント寄与を含んでいることを発見しました。また、ロシアまたは中国製のコードは、システムとデータにとって最も危険な脆弱性を持つ可能性が225%高く、重大な脆弱性を持つ可能性が300%高いことが判明しました。
Fortressは、SMBネットワーク機器および従来のOT機器において、平均的なオープンソースの脆弱性が1,485日古いことを発見しました。このような機器は、Volt Typhoonの標的であり、ベンダー、サプライヤー、またはユーティリティプロバイダーからの注意を受けずに4年以上もの間、ソフトウェアの重要な操作とコンポーネントを実行するソフトウェアに既知の脆弱性が存在することが珍しくありません。FIAは、既知の脆弱性を持つソフトウェアを使用してシステムに侵入する脅威アクターから保護するための追加の防御層をユーザーに提供します。
【ニュース解説】
Fortress Information Securityは、アメリカの主要な電力会社と協力して、海外からのリスクを限定するために、自動化されたパッチ通知および真正性ツールを展開しました。このツールは、パッチ管理を自動化し、パッチのインストール前にソフトウェアの身元と整合性を検証することで、電力会社の資産に悪意のある更新が導入されるのを防ぎます。さらに、このツールは、北米電気信頼性協議会による業界受け入れのセキュリティ基準であるCritical Infrastructure Protection 007 & 010(CIP-007およびCIP-010)のコンプライアンスをサポートする効率的かつコスト効果的な方法を提供します。
この取り組みは、アメリカの重要インフラが、特に中国共産党の指示の下で活動する「Volt Typhoon」という脅威アクターグループによって攻撃されているという、サイバーセキュリティおよびインフラセキュリティ庁(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)からの警告を受けています。Volt Typhoonは、最新の脆弱性パッチで更新されていないオンライン資産を悪用しています。
Fortressの研究によると、米国の電力会社が使用するソフトウェアの大部分には、ロシアや中国に公然と連携している開発者からのコンポーネントが含まれており、これらのソフトウェアは脆弱性や重大な脆弱性を持つ可能性が高いことが示されています。このような脆弱性は、システムやデータにとって非常に危険です。
このツールの導入により、電力会社は新しいアップデートがリリースされた平均1日以内に通知を受け取り、将来のウォーターホール攻撃や悪意のあるリダイレクトスタイルの攻撃を防ぐために、ソフトウェアアップデートのダウンロード署名が正確であり、ソフトウェアアップデートのマルウェアスキャンがクリーンであることを検証できます。
この技術の導入は、電力会社がセキュリティアップデートを迅速に適用し、悪意のある更新を防ぐことを可能にします。これにより、アメリカの重要インフラがサイバー攻撃からより効果的に保護されることになります。しかし、ソフトウェアの供給チェーン全体でのセキュリティの強化が必要であり、このツールはその一環として非常に重要な役割を果たします。一方で、このような自動化ツールの導入には、誤検知による正当なアップデートの遅延や、新たなセキュリティリスクの導入といった潜在的なリスクも伴います。したがって、これらのツールの導入と運用には、常に慎重な監視と評価が必要です。
長期的には、このような自動化ツールの普及は、サイバーセキュリティの基準を高め、重要インフラの保護を強化する上で重要な役割を果たすでしょう。また、ソフトウェアの供給チェーンセキュリティに対する意識の高まりを促進し、より安全なデジタル環境の構築に貢献することが期待されます。
from Fortress Information Security Deploys Automated Patch Notification and Authenticity Tool.
“電力会社のセキュリティ強化へ、Fortressが革新的ツール展開!” への1件のコメント
Fortress Information Securityが展開した自動化されたパッチ通知および真正性ツールについて読んで、本当に興味深いと思いました。今の時代、インターネットとつながっているものが増えるにつれて、サイバー攻撃のリスクも高まっていますよね。特に、電力会社などの重要インフラに対する攻撃は、私たちの日常生活に大きな影響を与える可能性があるので、こうしたリスクを減らす取り組みは本当に重要だと思います。
このツールがパッチ管理を自動化し、ソフトウェアの身元と整合性を検証することで、悪意のある更新を防ぐことができるのは素晴らしいです。さらに、北米電気信頼性協議会のセキュリティ基準に対するコンプライアンスを助けるという点も、電力会社にとっては大きなメリットだと感じます。
ただ、記事を読んで心配なのが、米国の電力会社が使用するソフトウェアにロシアや中国に公然と連携している開発者からのコンポーネントが多く含まれていることです。これらの国からのコンポーネントが脆弱性を持つ可能性が高いというのは、かなりリスクが高いと思います。このような背景を考えると、Fortressのようなセキュリティ対策がより一層重要になってくるんだと実感します。
それに、自動化ツールの