{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
2022-04-08
近年ソフトウェアサプライチェーンに由来するリスクが顕在化する事例が目立っており、深刻な事態に発展することが懸念されています。実際に、ソフトウェアの配布プロセスやソフトウェア部品の脆弱性を狙うサイバー攻撃が頻発し、多くの組織が影響を受けています。これは個々の組織のセキュリティ対策の問題ではなく、ソフトウェアサプライチェーンの構造的な課題であるため、業界全体の取り組みによる対処が求められています。
ソフトウェアサプライチェーンの安全性を高めるための仕組みとして、ソフトウェア部品表(SBOM1:「エスボム」と発音)があります。ソフトウェアサプライチェーンのリスクが高まる中、SBOMは特定業界だけでなくソフトウェアに関わる全ての組織で採用されるべき仕組みとして注目されています。本稿ではSBOMとは何かを解説し、導入に向けてどのような準備をすべきか提言します。
ソフトウェアサプライチェーンとは、ソフトウェアの開発・配布・利用・アップデートといった一連の流れを指す言葉です。サプライチェーンはもともと製造業で使われていた言葉ですが、ソフトウェア業界においても部品を組み合わせてアプリケーションを構築することが一般的になっており、オープンソースソフトウェア(OSS)に代表されるソフトウェア部品を供給・利用するサプライチェーンが形成されています。ソフトウェア部品の利用には高度な機能を持つアプリケーションを効率良く開発できるという大きなメリットがあります。
その一方で、上流で発生した事象がサプライチェーンの下流全体に影響を及ぼすという構造的な課題も存在します。ソフトウェアやその配布プロセスが侵害され、当該ソフトウェアを利用する組織が影響を受けた事例は複数あります。また、Javaのログ記録ライブラリLog4jで見つかった深刻な脆弱性の問題2は、ソフトウェア部品の脆弱性を悪用する攻撃が多くの組織に影響を与えた事例として挙げられます。このように脆弱性を悪用する攻撃は2021年12月から観測されていますが、2022年3月時点でも悪用が継続しています。
ソフトウェアやその配布プロセスの侵害は、ソフトウェアベンダーの信頼を悪用するものであるため、ユーザー側で予防策を講じることは困難です。脅威インテリジェンスを活用して供給元への攻撃発生直後に対策を取ることは可能ですが、後手に回っていると言わざるを得ません。
ソフトウェア部品の脆弱性対応には、後述するように通常のIT資産管理では影響の有無を確認できないという課題があり、攻撃発生までに対応を完了することは容易ではありません。脆弱性を悪用するエクスプロイト(攻撃コード)の14%は修正プログラムの提供前にゼロデイ攻撃用として公開され、23%は修正プログラムの提供から1週間以内、そして50%は提供から1ヵ月以内に公開されているという調査結果3を踏まえると、現状とは異なる仕組みが必要であることが分かると思います。
出典:Paloalto Networksの調査(https://unit42.paloaltonetworks.jp/state-of-exploit-development/)に基づいてPwCが作成
上述したような攻撃の発生を受け、各国のセキュリティ機関はソフトウェアサプライチェーンリスクの高まりを報告しています。
情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威」の「組織向け脅威」において、「サプライチェーンの弱点を悪用した攻撃の高まり」は初登場した2019年版から3年連続で4位でしたが、2022年版では3位に上昇しています。この脅威には、海外拠点や取引先を経由した攻撃と、ソフトウェア開発元や顧客企業にシステム運用・保守を提供するマネージドサービスプロバイダ(MSP)などを介して標的組織に侵入するソフトウェアサプライチェーン攻撃が含まれますが、2019年版4および2020年版5では前者のみが想定されていました。後者については2021年版6で初めて言及されています。3位に上昇した2022年版7では、OSSを標的としたサプライチェーン攻撃が2021年には1万2,000件を超え前年比で650%増となったというSonatype社の調査結果8が紹介されており、サプライチェーン攻撃が世界的に増加傾向にあると述べられています。
出典:情報処理推進機構のレポート「情報セキュリティ10大脅威」(2019年版~2022年版)に基づいてPwCが作成
海外に目を向けると、米国では商務省と国土安全保障省が取りまとめた、政府機関を支えるICT業界のサプライチェーンをアセスメントしたレポート9において、OSSの脆弱性の悪用やサプライヤーが提供するソフトウェアの透明性の欠如がセキュリティリスクとして指摘されています。このレポートでも、IPAと同様にOSSを標的とするサプライチェーン攻撃が急増したとするSonatype社の調査結果が紹介されています。欧州ネットワーク・情報セキュリティ機関(ENISA)は、2021年7月に公開したサプライチェーン攻撃の動向に関するレポート10において「サプライチェーン攻撃は数年前から懸念されていたが、2020年以降はより組織的な攻撃が多数発生している」と述べており、2021年には前年比で4倍のサプライチェーン攻撃が発生すると予測しています。
SBOMの基本的な考え方は、食品の原材料表示のように、ソフトウェアに含まれるコンポーネントの情報をデータベース化して管理し、組織を越えて相互運用できるように標準化するというものです。SBOMにはソフトウェアの名称やバージョン情報が含まれ、サプライチェーンの上流から下流に向かって提供されます。食品メーカーが中間加工原材料を使用する際に調達元から提供された情報に基づいて原材料表示を確認するイメージになります。
SBOMによる解決が期待されている一番の課題は、依存しているソフトウェア部品の脆弱性対応です。ユーザー組織における一般的な脆弱性対応は、①IT資産の把握、②脆弱性情報の収集、③修正措置の適用という流れで実施されますが、①で作成するIT資産台帳の管理対象は、通常は依存関係で上位にあるソフトウェアのみであり、下位のコンポーネントは含まれません。例えば、Javaで書かれたアプリケーションがLog4jを部品として使用している場合、上位のソフトウェアに対して、Log4jは下位コンポーネントに位置付けられます。
そのため、IT資産台帳に基づいて情報収集するだけでは下位コンポーネントの脆弱性情報を検知することができません。また、セキュリティメディアの報道などによりコンポーネントの脆弱性に関する情報を検知できたとしても、自組織のIT資産における影響範囲を特定するためには利用有無を個別に調査する必要があります。食品の例えに戻ると、1つ1つの食品を味見して原材料を特定するようなものであり、そのやり方では抜け漏れが生じる恐れがあります。
また、SBOMデータにハッシュ値を含めることでコンポーネントの真正性(本物であること)を担保する仕組みも検討されており、ソフトウェアに仕掛けられたバックドアや偽のアップデートファイルの検知が可能になることも期待されています。
SBOMの国際標準化は自動車業界や医療機器業界を中心として進められてきましたが、ソフトウェアサプライチェーン攻撃の深刻さが認識される中、IT業界全体で普及に向けた取り組みが本格化しています。その契機となったのは、2021年5月12日に米国のバイデン大統領が署名したサイバーセキュリティ強化のための大統領令11であり、この大統領令によりSBOMは米国連邦政府の取り組みとなったのです。そして、この大統領令に従い、同年7月12日に商務省国家電気通信情報局(NTIA)がSBOMの最小要素を定めた「The Minimum Elements For a Software Bill of Materials」(以下、最小要素)12を公開しました。次のステップとして、NTIAはソフトウェア購入者にSBOMを提供するためのガイダンスを公開する予定です。
出典:米国商務省国家電気通信情報局「The Minimum Elements For a Software Bill of Materials」に基づいてPwCが作成
日本においても、経済産業省によるサプライチェーンサイバーセキュリティ政策の中で検討が進んでおり、SBOMの実証テストが行われています。SBOMの導入・活用を推進するためには、コストの問題やSBOM情報の開示に対するサプライヤーの抵抗感といった課題をひとつひとつ解消していく必要があります。しかし一方で、今後政府調達の要件にSBOMの導入・活用が含まれるなど、SBOM普及に向けた取り組みが具体化していくことが予想されます13。また、納入先からSBOMの提供を要求されるようなケースが出てくることも想定されるので、ソフトウェアの開発や調達を行うすべての企業・組織はSBOMとは何かを理解し、業界動向を注視しながら本格化に向けて備えていく必要があります。
SBOMはソフトウェアサプライチェーンの透明性を確保するための仕組みであり、OSSに代表されるコンポーネントの脆弱性対応を効率化できるといったメリットがあります。米国では「最小要素」を出発点とし、ガイダンスの公開や継続的な官民の対話を通してSBOMの普及が本格化していくことが見込まれます。日本においても国内施策や国際連携によりSBOMの普及が進められており、企業・組織にとってSBOMの導入はもはや必須であり、そこから取り残されることは大きなリスクになると言えるでしょう。
「最小要素」をまとめた米商務省国家電気通信情報庁(NTIA)は、「SBOMがソフトウェアアシュアランスおよびサプライチェーンリスクマネジメントを推進するための優先事項の1つであり、完璧を待つよりも今日始める方がより望ましい」と述べています。自組織でのユースケースの検討やサプライチェーン間での対話など、以下の推奨事項に示す通り、SBOMを真に有効活用するために今できることからまず始めてみることが重要です。
<推奨事項>SBOMデータを利用する企業・組織
<推奨事項>ソフトウェアベンダー
1 Software Bill of Materialの略
2 JPCERT/CC, 2021, 「Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起」
https://www.jpcert.or.jp/at/2021/at210050.html
3Paloalto Networks, 2020, 「エクスプロイトの開発状況: 80%のエクスプロイトはCVEより先に公開されている」
https://unit42.paloaltonetworks.jp/state-of-exploit-development/
4 情報処理推進機構, 2019, 「情報セキュリティ10大脅威」
https://www.ipa.go.jp/files/000072668.pdf
5 情報処理推進機構, 2020, 「情報セキュリティ10大脅威」
https://www.ipa.go.jp/files/000080871.pdf
6 情報処理推進機構, 2021, 「情報セキュリティ10大脅威」
https://www.ipa.go.jp/files/000088835.pdf
7 情報処理推進機構, 2022, 「情報セキュリティ10大脅威」
https://www.ipa.go.jp/files/000096258.pdf
8 Sonatype, 2021, 「2021 State of the Software Supply Chain」
https://www.sonatype.com/resources/state-of-the-software-supply-chain-2021
9 US. Department of Commerce and Department of Homeland Security, 2022, 「ASSESSMENT OF THE CRITICAL SUPPLY CHAINS SUPPORTING THE U.S. INFORMATION AND COMMUNICATIONS TECHNOLOGY INDUSTRY」
https://www.dhs.gov/sites/default/files/2022-02/ICT%20Supply%20Chain%20Report_2.pdf
10 欧州ネットワーク・情報セキュリティ機関(ENISA), 2021, 「Threat Landscape for Supply Chain Attacks」
https://www.enisa.europa.eu/publications/threat-landscape-for-supply-chain-attacks
※本レポートはソフトウェアサプライチェーン攻撃に限定したものではないことにご留意ください
11JETRO, 2021, 「バイデン米大統領、サイバーセキュリティを強化する大統領令に署名」https://www.jetro.go.jp/biznews/2021/05/35e8aca1614f6fe5.html
12 NTIA, 2021, 「The Minimum Elements For a Software Bill of Materials (SBOM)」
https://www.ntia.doc.gov/files/ntia/publications/sbom_minimum_elements_report.pdf
13 経済産業省, 2021, 「サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォースの検討の方向性」 https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_bunyaodan/software/pdf/005_03_00.pdf