ソフトウェアサプライチェーン攻撃対策の最新動向
セキュリティを知りたい
先生、「セキュリティを高めるための知識」で、『OSC&R』っていう言葉が出てきたんだけど、何だかよく分からないんです。教えてください!
セキュリティ研究家
なるほど。『OSC&R』は、ソフトウェアを作る過程を狙った攻撃から守るための知識なんだ。ソフトウェアを作るには、色々な道具や部品を使うよね?その道具や部品を狙って攻撃してくる悪い人がいるんだ。
セキュリティを知りたい
えー!そんなことする人がいるんですか?!でも、なんでそんなことをするの?
セキュリティ研究家
例えば、完成したソフトウェアにこっそり悪さをするプログラムを仕込むためさ。『OSC&R』は、そういった攻撃がどんなものか、分かりやすくまとめて、対策できるようにしてくれる知識なんだよ。
OSC&Rとは。
安全性を高めるための知識、『OSC&R』について説明します。『OSC&R』は、ソフトウェアの供給網を狙った攻撃者の行動や方法を分かりやすくまとめたもので、誰でも見ることができる枠組みです。これは、MITRE ATT&CKという既存の枠組みを参考に作られました。この枠組みは、OXSecurityというセキュリティ会社を中心とした、名だたる企業の約20社からなる団体によって作られました。
ソフトウェアの供給網とは、ソフトウェアを作る過程に関わる全ての要素を指します。オープンソースやライブラリ、開発環境やツールなどがその例です。OSC&Rは、近年増加しているソフトウェアの供給網を狙った脅威を理解するために作られました。
この枠組みは、ソフトウェアの供給網を狙う攻撃者の行動を、全体を網羅し、体系的に記述することで、実際に対応できるような実践的なものになっています。OSC&Rを広め、発展させることで、攻撃者に対する共通認識を深め、セキュリティ戦略や対策、そして攻撃を想定した訓練の質を高めることが期待されています。
OSC&Rでは、SBOMという仕組みを参考に、PBOM(Pipeline Bill of Materials)という考え方に基づき、攻撃者の行動を開発の段階に沿って分類しています。PBOMは、オープンソースのセキュリティやCI/CD、コンテナなどの開発条件に合わせた具体的な攻撃手法をまとめ、分かりやすく示しています。OSC&Rは、2023年3月からGitHub上で公開されています。
ソフトウェアサプライチェーン攻撃の脅威
– ソフトウェアサプライチェーン攻撃の脅威近年、企業が取り扱う情報量は増加の一途を辿っており、その保護の重要性はますます高まっています。それと同時に、攻撃者たちは巧妙で執拗な手法を用いて、機密情報や重要なシステムに侵入を試みています。 特に近年、その脅威を増しているのが「ソフトウェアサプライチェーン攻撃」です。ソフトウェアサプライチェーンとは、ソフトウェアが開発され、利用者の元に届くまでの、いわば「製品の供給網」全体を指します。 これは、コードを書くプログラマーだけでなく、開発に使用するツール、ソフトウェアを構成する部品やライブラリ、そしてそれらを開発・提供する企業や組織など、実に様々な要素が複雑に絡み合ったネットワークです。ソフトウェアサプライチェーン攻撃では、攻撃者はこの複雑なネットワークの隙を狙います。 例えば、開発に使用するツールに脆弱性を発見し、悪意のあるコードを埋め込むかもしれません。 あるいは、広く利用されているライブラリに不正なコードを混入させ、それを組み込んだソフトウェア全体を危険にさらす可能性もあります。 攻撃者は、サプライチェーンのどこかの段階に侵入することで、最終的に多くの利用者に影響を与えることを狙っているのです。ソフトウェアサプライチェーン攻撃は、その影響範囲の広さと、発見の困難さから、非常に大きな脅威となっています。 そのため、企業は、自社だけでなく、取引先や開発に関わる全ての関係者と連携し、サプライチェーン全体でセキュリティ対策を強化していくことが重要です。
| 脅威 | 概要 | 対策 |
|---|---|---|
| ソフトウェアサプライチェーン攻撃 | ソフトウェアの開発から利用までのサプライチェーン全体を標的とした攻撃。開発ツール、ライブラリ、外部委託先など、あらゆる要素が攻撃対象となる。 | サプライチェーン全体でセキュリティ対策を強化。取引先や開発に関わる関係者との連携が重要。 |
| 開発ツールへの攻撃 | 開発に使用するツールに脆弱性を突かれ、悪意のあるコードが埋め込まれる可能性がある。 | 開発ツールの脆弱性管理を徹底し、最新の状態に保つ。信頼できるベンダーのツールを使用する。 |
| ライブラリへの攻撃 | 広く利用されているライブラリに不正なコードを混入させ、それを組み込んだソフトウェア全体を危険にさらす。 | 使用するライブラリのセキュリティチェックを徹底する。脆弱性が発見されたライブラリは速やかにアップデートする。 |
新たなフレームワーク、OSC&Rとは
– 新たなフレームワーク、OSC&Rとは近年、ソフトウェアサプライチェーンを狙った攻撃が急増しており、企業や組織にとって大きな脅威となっています。ソフトウェアサプライチェーン攻撃とは、開発や配布の過程にあるソフトウェアの脆弱性を悪用し、最終的にそのソフトウェアを利用する組織に被害を与える攻撃です。このような状況の中、ソフトウェアサプライチェーン攻撃に対抗するための新たな武器として「OSC&R (Open Software Supply Chain Attack Reference)」が登場しました。OSC&Rは、セキュリティベンダーのOXSecurityを中心とした共同事業体によって開発された、ソフトウェアサプライチェーン攻撃に特化した、誰もが利用できる設計図となるものです。これは、攻撃者が用いる戦略や技術、手順を体系的に分類し、分かりやすく示すものです。OSC&Rは、広く知られるサイバー攻撃の設計図であるMITRE ATT&CKを参考に開発されており、ソフトウェアサプライチェーンという特定の領域に焦点を当てている点が特徴です。OSC&Rは、攻撃者がソフトウェアサプライチェーンのどの段階を狙うのか、どのような方法で攻撃を行うのかを詳細に分析し、それぞれの攻撃パターンに名前と説明を与えています。この設計図を利用することで、企業や組織は自社のソフトウェアサプライチェーンにおける脆弱性を把握し、適切な対策を講じることが可能となります。また、セキュリティ対策製品の開発にも役立ち、より効果的な防御策を講じることが期待されています。OSC&Rは、ソフトウェアサプライチェーン攻撃から身を守るための重要なツールとなる可能性を秘めています。関係者は、この新たな設計図を積極的に活用し、安全なソフトウェア開発と利用を進めていくことが求められます。
| 項目 | 内容 |
|---|---|
| 背景 | ソフトウェアサプライチェーン攻撃の急増 |
| OSC&Rの定義 | ソフトウェアサプライチェーン攻撃に特化した、誰もが利用できる設計図 |
| 開発主体 | セキュリティベンダーのOXSecurityを中心とした共同事業体 |
| 特徴 | ソフトウェアサプライチェーンという特定の領域に焦点を当てている。攻撃者が用いる戦略や技術、手順を体系的に分類し、分かりやすく示している。 |
| メリット | 企業や組織は自社のソフトウェアサプライチェーンにおける脆弱性を把握し、適切な対策を講じることが可能になる。セキュリティ対策製品の開発にも役立ち、より効果的な防御策を講じることが期待される。 |
OSC&Rの活用方法
– OSC&Rの活用方法OSC&Rは、ソフトウェア開発の安全性を高めるための情報を集めたものです。これは、ソフトウェアを作る人、使う人、守る人、全ての人にとって役立つものです。ソフトウェアを作る人は、OSC&Rを見ることで、開発中に潜む危険性を early stage で見つけることができます。そして、その危険に合わせた対策を立てることで、より安全なソフトウェアを作ることができます。ソフトウェアを守る人は、OSC&Rを使って、攻撃者のやり方を分析することができます。過去の攻撃の記録から、攻撃者の得意な方法や狙いやすい場所を理解することでより的確な防御策を立てることができます。OSC&Rは、ソフトウェアの安全性をチェックしたり、危険性を評価したりするためにも役立ちます。会社はOSC&Rを基準にして、自社のセキュリティ対策が十分かどうかを評価できます。そして、もし弱点が見つかった場合は、OSC&Rの情報を使って改善することができます。このように、OSC&Rはソフトウェアサプライチェーン全体で活用できるため、ソフトウェアの安全性を高める上で非常に重要な役割を担っています。
| 対象者 | OSC&Rの活用方法 | メリット |
|---|---|---|
| ソフトウェアを作る人 | 開発中の危険性を早期発見し、対策を立てる | より安全なソフトウェア開発 |
| ソフトウェアを守る人 | 攻撃者のやり方を分析し、的確な防御策を立てる | より強固なセキュリティ対策 |
| 会社全体 | セキュリティ対策の評価基準、弱点改善に活用 | セキュリティレベルの向上 |
PBOMによる攻撃の可視化
– PBOMによる攻撃の可視化
近年、ソフトウェアサプライチェーンを狙った攻撃が増加しており、企業にとって大きな脅威となっています。
OSC&Rでは、このような攻撃から企業を守るため、ソフトウェア部品表(SBOM)の概念を応用した、パイプライン部品表(PBOM)という考え方を導入しています。
PBOMは、ソフトウェア開発の段階で使用されるツールやライブラリ、外部サービスなど、サプライチェーン全体の構成要素を、部品リストのように詳細に記録したものです。
OSC&Rは、このPBOMを用いることで、攻撃者がソフトウェア開発のどの段階で、どのようなツールや手法を使って攻撃を仕掛けてくるのかを、視覚的に分かりやすく示します。
例えば、開発者が使用しているオープンソースのライブラリに脆弱性が発見された場合、PBOMを参照することで、そのライブラリを使用している製品やサービスを特定し、迅速に修正プログラムを適用することができます。
このように、PBOMによる攻撃の可視化は、企業がより的確に攻撃を予測し、効果的な対策を講じるために非常に有効な手段となります。
| 項目 | 内容 |
|---|---|
| 課題 | ソフトウェアサプライチェーン攻撃の増加 |
| 対策 | パイプライン部品表(PBOM)の活用 |
| PBOMとは | ソフトウェア開発におけるツール、ライブラリ、外部サービスなど、サプライチェーン全体の構成要素を記録したもの |
| メリット | – 攻撃者がどの段階で、どのようなツールや手法を使って攻撃を仕掛けてくるかを視覚的に把握 – 脆弱性発見時の影響範囲の特定と迅速な対応 |
共通認識の促進とセキュリティレベルの向上
昨今、ソフトウェア開発は複雑化し、多くの企業がオープンソースソフトウェアを含む様々な部品を組み合わせて製品を開発しています。そのため、ソフトウェアのサプライチェーン全体におけるセキュリティ確保が喫緊の課題となっています。
このような状況の中、ソフトウェアサプライチェーンのリスクと対策をまとめた「OSC&R」が注目を集めています。「OSC&R」は、ソフトウェアサプライチェーンのリスクを洗い出し、その対策を具体的に示したフレームワークです。このフレームワークは、GitHub上で公開されており、誰でも自由に利用できます。
ソフトウェアサプライチェーンのセキュリティ確保は、一企業だけの努力では達成できません。「OSC&R」のような共通のフレームワークを用いることで、開発者、セキュリティ専門家、企業間で情報を共有し、連携を強化することで、より強固なセキュリティ体制を構築できます。
「OSC&R」は、ソフトウェアサプライチェーンのリスクと対策について共通の認識を持つためのツールとして、広く活用されることが期待されます。開発者はもちろんのこと、セキュリティ専門家、経営者など、ソフトウェア開発に関わる全ての人が「OSC&R」を理解し、活用することで、ソフトウェアサプライチェーン全体のセキュリティレベル向上に貢献できるでしょう。
| 課題 | 対策 | 詳細 |
|---|---|---|
| ソフトウェアサプライチェーンのセキュリティ確保 | OSC&Rの活用 | – ソフトウェアサプライチェーンのリスクと対策をまとめたフレームワーク – GitHub上で公開されており、誰でも自由に利用可能 – 開発者、セキュリティ専門家、企業間で情報を共有し、連携を強化 |