ソフトウェアサプライチェーンの確保に向けた3つのステップ

コンピューターコードは、スマートフォンからロボット、そしてそれらを接続するネットワークに至るまで、あらゆるテクノロジーの基盤です。今日のデジタルの世界では、それはまた、コードを多くの（ほとんどではないにしても）ビジネスやサービスの基盤の一部にします。

ハッカーはこの事実を認識し、それを活用します。最近注目を集めている例は、SolarWindsソフトウェアに複数のトロイの木馬化されたアップデートを使用したFireEyeへの攻撃です。ソフトウェアプロバイダーを標的にすることで、ハッカーは企業にバックドアを設置し、企業からサービスを受けた政府機関という意図した目標を達成することができました。

この攻撃方法も信頼を利用します。企業、政府、その他の顧客は、ソフトウェアまたはファームウェアのアップデートがベンダーから提供されたものであれば、安全にインストールできると考えています。信頼するが検証する人もいます。ベンダーのWebサイトで更新のハッシュ値を確認し、それをダウンロードと比較します。それらが一致する場合、脆弱性がないと見なします。

この信頼は、開発プロセス中にソースコードを操作できる悪意のある攻撃者に機会をもたらします。その結果、ユーザーは無意識のうちにエクスプロイトをダウンロードします。このエクスプロイトは、組織全体に広がり、最終的にパートナー、サプライヤー、または顧客の名簿を攻撃する間、数週間または数か月間静かに置かれることがよくあります。組織はどのようにして自分自身を守ることができますか？

悪意のある人物を締め出します。 サプライチェーンリスク管理（SCRM）プログラムは、サードパーティの製品とサービスの採用と統合に固有の脅威と脆弱性を軽減するために重要です。人、プロセス、テクノロジーを網羅し、セキュリティ、IT、人材（HR）、調達、法務など、複数の部門にまたがっています。企業のSCRMプログラムをソフトウェア開発ライフサイクル（SDLC）に拡張することは特に重要です。その過程で、SCRMプログラムは、全員が参加者であり、同じ目標に向けて調整されるセキュリティの文化を生み出します。

SDLC内では、SCRMプログラムは、コードおよびツールセットなどの関連リソースに触れる必要がある人々に焦点を当てています。当然のことながら、これらの従業員は、犯罪活動や国民国家との潜在的な関係を特定するための身元調査を含め、採用プロセス中に徹底的に精査する必要があります。

人材派遣会社を利用している企業は、会社が独自の特定の要件を理解していることを確認する必要があります。たとえば、企業は、人材派遣会社が誰であるか、および国が後援するサイバー犯罪の歴史がある国に存在するかどうかを知る必要があります。企業が専有情報や機密情報を扱っている場合、人材派遣会社のリモートオフィスが履歴書や潜在的な内部脅威プラントである候補者に情報を提供することを望んでいません。国民国家の攻撃者は、人々を標的の組織に引き込むことにますます焦点を合わせています。彼らは、彼らの履歴書を山の頂上に引き上げる、切望されたコーディングスキルやその他の求められている資格を示す人々を訓練するための財源を持っています。これは、人事チームと採用マネージャーが認識しておくべきことです。

悪意のある人物の中には、最も慎重なスクリーニングと採用のプロセスをすり抜けてしまう可能性があります。そのため、明確に定義された内部脅威プログラムを通じて従業員の活動を監視し、特権の不正な昇格やシステム、プログラム、アプリケーションへのアクセスなどの異常で疑わしい行動を特定することが重要です。

SCRMプログラムでは、コードやツールセットなどの関連リソースに触れる必要のある人を特定し、それらすべてを他の人から遠ざけるための保護手段を実装する必要もあります。コードのライセンスが取得されると、それが認定開発者の唯一のソースになるはずです。つまり、外部ソースから追​​加のコードを持ち込むことはできません。基本的に、コードがすでに評価および制御されていると、企業は、セキュリティリスクについてまだ評価されていない新しいソースからコードを開発者が取得することを望んでいません。このベストプラクティスは、許可された開発者が無意識のうちに使用した無許可のコードに埋もれたバックドアや、許可されていないユーザーによって隠された文書化されていないポータルなどの脆弱性を軽減します。

精査して管理します。 厳密に制御するテクノロジーは、保護のもう1つの層を提供します。たとえば、従業員が組織内で異動する場合でも、新しい役割と部門のために特別に作成されたイメージを持つ新しいラップトップを従業員に提供することを検討してください。また、以前に取得した、不要になったアクセスを無効にします。これにより、データとアクセスの特権を維持できます。

IT部門は、開発者に発行する前に、新しいコンピューターのイメージを再作成する必要もあります。オペレーティングシステムとプリインストールされたブロートウェアがコードを侵害した場合、ストックを使用して、ベンダー提供のイメージがバックドアを作成する可能性があります。代わりに、これらのデバイス用にカスタムの強化されたイメージを作成します。

すべての新しいタイプのハードウェアとソフトウェアは、最初に一定期間サンドボックス化する必要があります。これにより、IT部門は、データをプルダウンするためにインターネットに一方的な呼び出しを行うなど、彼らの行動を精査する時間が与えられます。また、数か月または数年後の行動の突然の変化を検出するのに役立つベースラインを作成します。これは、それらが危険にさらされていることを示している可能性があります。

セキュリティの文化を作ります。 これは考慮すべきことがたくさんあり、SCRMが組織間の取り組みでなければならない理由を浮き彫りにします。たとえば、法務部門は、すべての要件が満たされていることを確認するために、ベンダーとパートナーの契約に監査に関する文言が含まれていることを確認する必要があります。一方、HRは、候補者をスクリーニングするためのルールの作成と実施を支援できます。

経営幹部レベルの賛同とリーダーシップは、この種のチームの取り組みを達成し、SCRMプログラムを実装するためのリソースを確実に利用できるようにするための鍵です。これにより、組織全体にまたがるセキュリティの文化が生まれ、セキュリティが後から考えられたものから開発プロセスの基本的な部分に変わります。

Michael Iwanoffは、iconectivの最高情報セキュリティ責任者です。