ソフトウェアサプライチェーンリスクの顕在化事例とSBOMによる解決

2022-04-20

はじめに

本稿はSBOMが求められている背景と期待される効果および活用事例について解説する連載の第2回です。第1回では上流で発生した事象が下流全体に影響を及ぼすというソフトウェアサプライチェーンの構造的な課題と、その解決策としてソフトウェア部品表(SBOM:Software Bill of Material、「エスボム」と発音)の普及が本格化していることを解説しました。第2回の今回はソフトウェアサプライチェーンリスクが顕在化した主な事例を取り上げ、SBOMによってどのような解決が可能か考察します。

おわりに

本稿ではSBOMの欠如により発生する問題を透明性、完全性、および識別性の観点で分類し、それぞれ具体的な事例を挙げてSBOMによる解決策を解説しました。続いて、ソフトウェアサプライチェーン攻撃のタイプ別にSBOMの効果を整理しました。SBOMは決してソフトウェアサプライチェーン攻撃に対する万能薬ではありません。何ができて何ができないのかを正しく理解した上で導入することが重要です。また、SBOMは導入して終わりではなく、実際の業務で活用して初めてその価値を発揮するものです。本稿で取り上げた事例を参考に、ライセンス管理や脆弱性対応業務への適用を検討していただきたいと思います。

本連載の第1回および第2回ではSBOMに関する一般的なトピックについて解説しました。次回以降はPSIRT14やCSIRT15におけるSBOMの活用がテーマとなります。より具体的で実践的な内容になりますのでご期待ください。

1 Microsoft, 2021, 「Generating Software Bills of Materials (SBOMs) with SPDX at Microsoft」
https://devblogs.microsoft.com/engineering-at-microsoft/generating-software-bills-of-materials-sboms-with-spdx-at-microsoft/

2 情報処理推進機構(IPA), 2015, 「共通脆弱性識別子CVE概説」
https://www.ipa.go.jp/security/vuln/CVE.html

3 情報処理推進機構(IPA), 2018, 「共通プラットフォーム一覧CPE概説」
https://www.ipa.go.jp/security/vuln/CPE.html

4 Software Freedom Conservancy, 2010, 「Conservancy Receives Default Judgment For BusyBox GPL Enforcement」
https://sfconservancy.org/news/2010/aug/03/busybox-gpl/

5 Free Software Foundation Europe, 2013, 「FSFE compliance workshop discovers GPL violation by FANTEC, Welte wins in court」
https://fsfe.org/news/2013/news-20130626-01.en.html

6 ソースコードのテスト範囲を測定するツール

7 Codecov, 2021, 「Bash Uploader Security Update」
https://about.codecov.io/security-update/

8 日本シーサート協議会, 2014, 「GNU bashの脆弱性 ~shellshock問題~ について」
https://www.nca.gr.jp/2014/shellshock/index.html

9 Cybersecurity & Infrastructure Security Agency, 「KNOWN EXPLOITED VULNERABILITIES CATALOG」
https://www.cisa.gov/known-exploited-vulnerabilities-catalog

10 JPCERT/CC, 2021, 「Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起」
https://www.jpcert.or.jp/at/2021/at210050.html

11 Bleeping Computer, 2021, 「Hackers start pushing malware in worldwide Log4Shell attacks」
https://www.bleepingcomputer.com/news/security/hackers-start-pushing-malware-in-worldwide-log4shell-attacks/

12 Mandiant, 2022, 「Does This Look Infected? A Summary of APT41 Targeting U.S. State Governments」
https://www.mandiant.com/resources/apt41-us-state-governments

13 Netlab 360, 2022, 「New Threat: B1txor20, A Linux Backdoor Using DNS Tunnel」
https://blog.netlab.360.com/b1txor20-use-of-dns-tunneling_en/

14 Product Security Incident Response Teamの略、製品の設計段階から出荷後までを対象に、インシデントなど問題発生時に対応するチーム

15 Computer Security Incident Response Teamの略、平時および有事におけるサイバーセキュリティの安全管理業務を担うチーム

執筆者

丸山 満彦

パートナー, PwCコンサルティング合同会社

Email

上杉 謙二

ディレクター, PwCコンサルティング合同会社

Email

村上 純一

パートナー, PwCコンサルティング合同会社

Email

澤山 高士

マネージャー, PwCコンサルティング合同会社

Email

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}