お客様各位

いつもお世話になっております、マイクロフォーカスエンタープライズです。

今回は、ソフトウェアサプライチェーン攻撃対策として重要な、オープンソースソフトウェア（以下OSS）の排除とSBOMの重要性についてのトピックを配信いたします。

かつてないほど多くのオープンソースが利用されるようになり、ソフトウェアサプライチェーンを標的とした攻撃も、頻度と複雑さの両面で増加しています。オープンソースコードを使用して社内で製品を構築しようとするDevOpsチームが増え、ソフトウェアのサプライチェーンがより複雑になっていることも要因の1つです。実際に、「情報セキュリティ10大脅威 2023」でも、サプライチェーンの弱点を悪用した攻撃は2位にランクインしています。

2020年のSolarWindsへの攻撃もソフトウェアサプライチェーン攻撃の一種です。外国諜報機関を後ろ盾にしたハッカーが、定期的なソフトウェア更新を利用してSolarWinds社の製品であるOrionのソフトウェアに悪意のあるコードを仕込み、それを利用してアメリカに対する大規模なサイバー攻撃を行いました。世界中の数万に上る組織が影響を受けました。

ソフトウェアサプライチェーンリスクとは別に、（SolarWindsへの攻撃を外部または外部の脅威行為者によるものと考えると） 品質に関する問題で、意図しない内部脅威があります。開発者が脆弱なコンポーネントを組み込んでいたり、ゼロデイ・オープンソースの脆弱性の影響を受けたりします。最近の例では、Log4ShellやLog4Jが該当します。

これら2つの攻撃は、ソフトウェアサプライチェーンのセキュリティの2つの側面を象徴しています。
アプリケーションを構築するために使用されるコンポーネントの脆弱性と、クライアントの情報に特権的にアクセスできるソフトウェアやサービスプロバイダーに対する攻撃です。
コンポーネントのセキュリティを監査せずに使用すると、ソフトウェアに脆弱性を作り出し、エコシステムを通じて攻撃を拡散させる危険性があります。 そして、ソフトウェアに既知の脆弱性がないことを担保するには、自社のアプリケーションを作成するために使用されるコンポーネントやライブラリを、サプライチェーンを通じてコードの出所を追跡し、サプライヤーのセキュリティプロセスを理解し、実行中のソフトウェアに対して定期的に動作検証を行い、コードが悪意のある動作をしていないことを確認する必要があります。

SBOM（Software Bill of Materials：ソフトウェア部品表）は、ソフトウェアを構成するコンポーネントの一覧のことで、コンポーネントの名称やバージョン、依存関係、ライセンスデータなど複数の要素が含まれ、OSS（Open Source Software）のライセンス管理や脆弱性の管理、ソフトウェアサプライチェーンのリスク管理等を目的として活用されます。
なお、SBOMには複数の形式がありますが、セキュリティを念頭に置いた物はCycloneDXとなります。SBOMはソフトウェアコンポジション解析ツール（Software Composition Analysis）で生成します。
SAST（Static Application Security Testing：静的解析）は、ソースコードの脆弱性診断を行いますが、利用しているOSSを明らかにし、その脆弱性およびライセンスを管理する機能を持つのは、ソフトウェアコンポジション解析ツールです。SASTとソフトウェアコンポジション解析は、脆弱性診断において相互補完的な関係です。

ひとつは、オープンソースのセキュリティにエンタープライズ規模の結果を提供するSonatypeです。Fortify + Sonatypeは、SASTとソフトウェアコンポジション解析を1つのプラットフォームに統合し、アプリケーションの脆弱性を統合的に把握できる統合プラットフォームにより、オープンソースのリスクを可視化します。Sonatypeは、AIと機械学習に加え、人間によるキュレーションを行うことで、National Vulnerability Database単独よりも70%多く脆弱性を検出します。SDLC全体でオープンソース・ガバナンスを大規模に自動化し、開発・構築段階内でセキュリティをシフトレフトすることができます。Sonatypeの利点は、感受性分析で誤検出を減らしながら、オープンソースの既知の問題を調査する時間を大幅に短縮できることです。

2つめはDebrickedで、最先端の機械学習によってオープンソースのインテリジェンスとセキュリティを提供し、より速く、より正確な結果をもたらします。オープンソースの使用方法に画期的な革新をもたらすソリューションで、オープンソースのセキュリティ、コンプライアンス、コミュニティの健全性を完全にコントロールすることができます。開発者が好むUIで、ソフトウェア開発ライフサイクルの効率化を容易に実現します。また、自動化されたパイプライン・ルールでオープンソースのコンプライアンスを確保し、SBOMを生成することができます。Debrickedはフリー版で、シームレスに統合される様子をご自身の目で確かめることができます。

なお、上記２つの何れもCycloneDX形式に対応しています。

サプライチェーンの攻撃は2018年以降増加していますが、正しいアプローチで、攻撃者の一歩先を行くことができます。また、適切なプロセスとツールを採用することで、安全なソフトウェアサプライチェーンの基盤を構築することができます。世界はオープンソースコードで動いていますが、そのようなソフトウェアコンポーネントを可視化し、その脆弱性およびライセンスが管理できれば、サプライチェーン攻撃に有効なセキュリティ対策となります。