2020年のSolarWinds事件と2021年のLog4j事件を受け、組織は重要なCVEとセキュリティインシデントに対応する戦略の改善が必要であると認識しました。開発者に安全な開発プラクティスを提供し、オープンソースコンポーネントの安全な使用をガイドする方法の模索が始まりました。悪意のあるコンポーネントの使用や新たな脆弱性への対応策の欠如が、組織を攻撃に脆弱にしています。

CVEの悪用による組織への財務的影響は大きく、大企業だけでなく中小企業も標的になっていますが、対応策を持つ企業はわずか14%です。開発者はソフトウェアに特定のプロジェクトを統合する際、意図せずにサイバー犯罪者に悪用される脆弱性を導入することがあります。オープンソースコンポーネントは便利ですが、古くなっていたり、保守されていなかったり、セキュリティに重点を置いていないことがあります。

組織は包括的な資産目録の作成を優先し、ソフトウェアの構成要素分析（SCA）ツールを活用してSBOMを効率的に作成し、関連する既知のCVEを検出することが重要です。開発チームのサポートなしでは脆弱性の修復は不可能であり、セキュリティトピックに焦点を当てた開発者向けのトレーニングの実施とセキュリティチャンピオンの設置が重要です。また、開発者が重要なCVEに対応するための明確なプロセスを確立することも重要です。

【編集者追記】2020年のSolarWinds事件と2021年のLog4j事件について、情報をまとめました。

2020年のSolarWinds事件

• 2019年9月頃、ロシアのハッカー集団がITインフラ管理ソフトウェア大手のSolarWindsのネットワークに侵入。
• 2020年3月から6月にかけて、SolarWindsのソフトウェア更新プログラムに、バックドアが仕込まれたものが配布された。
• 1万8000を超えるSolarWindsの顧客が影響を受け、マイクロソフトや米国政府機関などにも被害が及んだ。
• サプライチェーン攻撃の手法が用いられ、ソフトウェアの信頼性を揺るがす事件となった。

2021年のLog4j事件

• Log4jはJava用のオープンソースのロギングライブラリで、多くのソフトウェアで使用されている。
• 2021年11月24日、中国Alibaba Cloudのセキュリティ研究者Chen Zhaojun氏がLog4jの脆弱性を発見。
• 12月9日、脆弱性の存在が一般に公開され、大規模な混乱が生じた。
• 数億台のデバイスに影響を与える可能性があり、93%のクラウド環境に影響したとされる。
• 脆弱性を突く攻撃が世界中で観測され、ランサムウェアなども確認された。

SolarWinds事件は、サプライチェーン攻撃によって多数の組織に被害を及ぼした大規模な事件でした。
一方、Log4j事件は、ごく一般的に使われているオープンソースのライブラリの脆弱性が突如明らかになり、
世界中のシステムに大きな影響を与えました。
いずれも、ソフトウェアのセキュリティ管理の重要性を改めて認識させる事件となりました。

【編集者追記】用語解説

• サプライチェーン攻撃：
  ソフトウェアやハードウェアの供給元を攻撃することで、そのソフトウェア等を利用している企業や組織に被害を及ぼす攻撃手法。

【参考リンク】
SolarWinds社オフィシャルサイト（外部）

【関連記事】

SolarWinds、2024年アップデートで重大セキュリティ脆弱性を修正

サイバーセキュリティニュースをinnovaTopiaでもっと読む

【ニュース解説】

2020年のSolarWinds事件と2021年のLog4j事件を受けて、技術業界は重大なCVE（Common Vulnerabilities and Exposures、共通脆弱性と公開）とセキュリティインシデントに迅速かつ調整された対応を行うための戦略の見直しの必要性に気づかされました。これらの事件は、オープンソースソフトウェアのサプライチェーンの透明性とセキュリティに関する運用フレームワークを特に検討するきっかけとなり、組織はプロセスのギャップを埋め、開発者が安全な開発慣行を学び、安全なオープンソースコンポーネントの使用を促進する方法を模索し始めました。

CVEの悪用による組織への財務的影響は甚大であり、大企業だけでなく中小企業も攻撃の対象となっています。しかし、中小企業のうち自らを守る準備ができているのはわずか14%に過ぎません。オープンソースプロジェクトは開発者にとって非常に便利ですが、これらのコンポーネントが古くなっていたり、メンテナンスされていなかったり、セキュリティに焦点を当てていなかったりすることがあります。

組織が効果的にCVEに対応するためには、包括的な資産目録の作成を優先し、ソフトウェアの構成要素分析（SCA）ツールを活用してソフトウェア構成品目表（SBOM）を効率的に作成し、関連する既知のCVEを検出することが重要です。脆弱性の修復は、アプリケーションを所有しサポートする開発チームの支援なしには不可能であり、セキュリティトピックに焦点を当てた開発者向けトレーニングの実施とセキュリティチャンピオンの設置が不可欠です。

また、開発者が重要なCVEに対応するための明確なプロセスを確立することが、Log4j CVEのような別のインシデントに迅速かつ調整された対応を行うためには重要です。脆弱性が組織にとって「重大」であると判断する前に影響を分析するプロセスを持つこと、重要なCVEに関するエスカレーションパスを定義して、報告された脆弱性がインシデントにエスカレートした場合に正しいインシデント管理プロセスが遵守されるようにすることが、組織にとっての運用への影響を最小限に抑えるために重要です。

このような対応計画の開発は、将来的なセキュリティインシデントに対する組織の準備と回復力を高めるために不可欠です。また、開発者とセキュリティチーム間のコミュニケーションを強化し、セキュリティをソフトウェア開発プロセスの初期段階から組み込む文化を促進することにも寄与します。このような取り組みは、セキュリティインシデントの発生を防ぎ、発生した場合にはその影響を最小限に抑えるために、極めて重要です。

from Developing a Plan to Respond to Critical CVEs in Open Source Software.