Last Updated on 2024-01-24 20:06 by admin
【ダイジェスト】
ソフトウェアサプライチェーンの未知のリスクについて、深く掘り下げてみましょう。現代の組織はますますオープンソースコンポーネントをアプリケーションの基盤として採用していますが、従来のソフトウェア構成分析(SCA)ツールだけでは、オープンソースの脅威に対する完全な保護メカニズムとは言えません。オープンソースライブラリの使用は、コーディングとデバッグの時間を大幅に節約し、アプリケーションの納期を短縮します。しかし、コードベースがオープンソースソフトウェアで構成されるようになるにつれて、SCAプラットフォームを選択する際には、サプライチェーン自体への攻撃を含む、攻撃表面全体に注意を払う必要があります。
オープンソースライブラリを追加するとき、意図したライブラリだけでなく、多くの他のライブラリも追加されることがあります。これは、オープンソースライブラリがどのように構築されているかによるものです。すなわち、他の人が構築したコード、つまり他のオープンソースライブラリに依存しています。これにより、直接依存関係と間接依存関係が生じ、間接依存関係にあるパッケージに脆弱性がある場合、あなたのプロジェクトも脆弱になります。この問題に対処するために、脆弱性を検出し修正を提案するSCAプラットフォームが登場しました。
しかし、SCAツールは脆弱性の問題を解決するだけであり、サプライチェーン攻撃には対応していません。ガートナーの予測によると、2025年までに45%の組織がサプライチェーン攻撃の影響を受けるとされています。従来のSCAツールだけでは不十分であり、今こそ行動を起こす時です。サプライチェーン攻撃の5つのタイプを理解し、リスクをより深く理解するために、私たちのチートシートをダウンロードしてください。また、それらに対抗するための14のベストプラクティスもリストアップされています。
脆弱性と攻撃の違いを理解することは重要です。脆弱性は非故意のミスであり、CVEによって識別され、公開データベースに記録されており、悪用される前に防御が可能です。一方、サプライチェーン攻撃は意図的な悪意のある活動であり、特定のCVE識別がなく、標準的なSCAや公開データベースでは追跡されておらず、通常は既に悪用を試みられているか、デフォルトで活性化されています。
SCAツールは、サプライチェーンリスクからあなたを守る問題を解決するように思えるかもしれませんが、未知のリスクを含むすべての主要なサプライチェーン攻撃に対処せず、インフラストラクチャの最も重要な部分であなたを無防備にしています。したがって、絶えず進化するサプライチェーンの風景における既知および未知のリスクを軽減するためには、新しいアプローチが必要です。このガイドでは、サプライチェーンのすべての既知および未知のリスクをレビューし、物事を見る新しい方法を提案し、サプライチェーンリスクの世界への素晴らしい参照(または導入!)を提供します。
【ニュース解説】
ソフトウェアサプライチェーンのリスクについての議論が盛んになっています。特に、オープンソースコンポーネントを使用する組織が増える中で、これらのコンポーネントがもたらす潜在的な脅威に対する認識が高まっています。オープンソースライブラリを利用することで開発のスピードは上がりますが、それに伴い、サプライチェーン攻撃への露出も増えているのです。
オープンソースライブラリをプロジェクトに追加する際、そのライブラリだけでなく、多くの依存ライブラリも一緒に追加されることがあります。これらの依存ライブラリに脆弱性がある場合、それはプロジェクト全体のセキュリティリスクに直結します。このようなリスクを検出し、修正策を提案するためにソフトウェア構成分析(SCA)ツールが使われています。
しかし、SCAツールは既知の脆弱性に対処することはできても、サプライチェーン攻撃という未知のリスクには対応していません。サプライチェーン攻撃は、特定のCVE(共通脆弱性識別子)によって識別されず、標準的なSCAツールや公開データベースでは追跡されない、意図的な悪意のある活動です。これらの攻撃は、しばしば既に試みられているか、あるいはデフォルトで活性化されている状態です。
ガートナーの予測によると、2025年までには組織の約45%がサプライチェーン攻撃の影響を受けるとされています。このような状況を鑑みると、既知のリスクだけでなく、未知のリスクにも対応できる新しいアプローチが求められています。サプライチェーン攻撃に対抗するためのベストプラクティスを含むチートシートが提供されており、組織はこれらの情報を活用して防御策を講じることが推奨されています。
サプライチェーンのリスクを理解し、適切な対策を講じることは、組織のセキュリティを保つ上で不可欠です。既知の脆弱性に対処するだけでなく、未知の攻撃にも備えることが、今後のセキュリティ対策の重要なポイントとなるでしょう。
from The Unknown Risks of The Software Supply Chain: A Deep-Dive.