米国家安全保障局(NSA)と、米サイバーセキュリティ・インフラセキュリティ庁(CISA)、米国家情報長官室(ODNI)は米国時間9月1日、ソフトウェアサプライチェーンに関する新たなセキュリティガイダンスとして「Securing the Software Supply Chain / Recommended Practices Guide for Developers」(ソフトウェアサプライチェーンを守る/開発者向け推奨プラクティスガイド)を公開した。その目的は、プロプライエタリーな、あるいはオープンソースのソフトウェアを標的としたサイバー攻撃を避けられるよう開発者を支援することだ。
提供:Getty
米国の民間分野や公共分野の組織は、サプライチェーン攻撃から自らを守る上でこのガイダンスを活用できるはずだ。こういったサプライチェーン攻撃には、ロシア対外情報庁(SVR)のハッカーらによるSolarWindsとその顧客に対する攻撃が含まれている。
同ガイダンスには「SolarWindsとその顧客に対する攻撃や、『Log4j』などの脆弱性を悪用するエクスプロイトといった最近のサイバー攻撃により、ソフトウェアサプライチェーン内の弱点が浮き彫りになった。この問題は、商用ソフトウェアとオープンソースソフトウェアのいずれもが抱えており、民間組織と政府組織の双方に影響を及ぼす」と記されている。
また同ガイダンスは、国家を後ろ盾とする攻撃者が類似の戦術やテクニック、手順を用いることで、ソフトウェアサプライチェーンが武器化されるという可能性を広く周知していく必要があるとも記している。
NSAとCISAが率いる、公共と民間の業界をまたがるワーキンググループであるEnduring Security Framework(ESF)は、SolarWindsへの攻撃に至るまでの出来事を調査した後、このガイダンスを作成した。ESFは、Joe Biden米大統領によるサイバーセキュリティに関する連邦機関向けの大統領令を受け、開発者やベンダー、顧客からの要求に応えるべく設立された。
この出来事は、国家を後ろ盾とするハッカーたちが、ソフトウェアのサプライチェーンには、既知の、あるいは公になっていないソフトウェア脆弱性と同じくらいの価値が存在しているという事実に気付いたことの表れと言えるだろう。
NSAは、CISAとODNIとの共同発表に、「SolarWindsに対する攻撃につながった出来事をESFが調査した結果、ソフトウェア開発者のニーズにフォーカスしたベストプラクティス一式を確立するための投資が必要だということが明らかになった」と記している。
このガイダンスでは、ソフトウェアサプライチェーンにおいて、開発者が重要な役割を担うことを認識している。その一方でこれら政府機関は、ソフトウェアのベンダーとその顧客を直接対象にしたベストプラクティスのガイダンスもリリースする予定だ。
これら政府機関はベンダーの責任についても言及しており、これには契約上の合意や、ソフトウェアのアップデート、脆弱性の通知と緩和を通じたソフトウェアの完全性とセキュリティの保証が含まれている。
このガイダンスは、セキュアな開発プラクティスや、組織内部における脅威、オープンソース、サードパーティーコンポーネントの検証、ビルド環境の強化、コードの配布といった内容を網羅している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。