ソフトウェアサプライチェーンの セキュリティは改善の傾向が続く
2023年1月9日、Mike Vizard
ソフトウェアのサプライチェーンに対する脅威は、2 つの大きな侵害をきっかけに増大しているように見えます。まず Slack は、ソフトウェアを構築するためのプライベートなGitHubリポジトリで疑わしい活動を発見しました。限られた数の従業員トークンが盗まれ、外部でホストされているリポジトリにアクセスするために悪用されたというのです。また、正体不明の脅威者がプライベートコードリポジトリをダウンロードしていました。ただし、ダウンロードしたリポジトリには Slack の主要コードベースも顧客データも含まれていませんでした。
ついで、多くの企業がアプリケーションの構築とデプロイに使用している継続的インテグレーション/継続的デリバリー(CI/CD)を提供するCircleCIが、同社で調査中のセキュリティインシデントを踏まえ、プラットフォーム上に保存されているすべての機密事項を直ちにローテーションするよう顧客に警告しています。機密事項とは、パスワード、API キー、SSH キー、設定ファイル、OAuth トークンなどを含みます。
これらのインシデントが最終的にどのような影響をもたらすかは不明ですが、LastPass や SolarWinds が関与した同様の侵害事件をきっかけに、ソフトウェアサプライチェーンのセキュリティ向上の必要性に対する認識が高まっていることは明らかです。これらのインシデントが起きたこと自体が残念ではありますが、タイムリーに発見され、公表されたという事実は、実は意味のある進歩の兆しかもしれません。
少し前までは、この種の侵害が発見される確率は低かったのです。ソフトウェアのサプライチェーンを保護する最善の方法についてはまだまだ議論の余地がありますが、明らかに進歩しています。問題は、ソフトウェアサプライチェーンに注目が集まれば集まるほど、サイバー犯罪者がより多くのサプライチェーンを攻撃するようになることです。もちろん、ソフトウェアサプライチェーンがどの程度危険にさらされているかは誰にも分かりませんが、これまで以上に厳しい監視の目が向けられるようになりました。ソフトウェアサプライチェーンの中には、誰にも知られることなく何年も侵害されているものもあるかもしれません。
最も重要なことは、アプリケーション開発者とサイバーセキュリティの専門家が協力関係を築くことです。ソフトウェアのサプライチェーンを保護するのに欠かせないDevSecOpsのベストプラクティスを採用するうえで、最大の障壁は依然として文化的な要因が大きいのです。想像以上に長い間、多くの開発者は、サイバーセキュリティを品質保証プロセスの中核ではなく、アプリケーション開発の障壁とみなしてきました。克服または回避すべきものだったのです。本番環境で稼働しているアプリケーションには、おそらく総計で数十億という脆弱性があるでしょう。
ただし、忘れてはならない重要なポイントがあります。こうした脆弱性がすべて同じように深刻であるというわけではないことです。アプリケーション開発者がサイバーセキュリティ・チームに対してこれほどの不信感を抱いている理由の一つは、サイバーセキュリティ・チームがこれまで作ってきた、パッチを適用する必要のある脆弱性リストがあまりに根拠がなかったことにあります。新しいコードを書くか古いコードにパッチをあてるかの板挟みになる開発者は、脆弱性リストを嫌悪します。というのも、詳細を見るとコードの構築の仕方あるいはデプロイの仕方によってほとんど役立たないようなパッチであるケースが少なくないからです。さらに悪いことに、たとえ脆弱性が見つかっても、それが悪用される確率は著しく低いのです。
幸い、開発者とサイバーセキュリティの専門家の間には、休戦と協力という新しい精神が芽生え始めています。互いを疑いの目で見るのではなく、関係者全員にとって利益となるような形で、対話の性質を変える真の機会が今、訪れているのです。対立を終わらせるための交渉の例に漏れず、誰かが意を決して最初の一歩を踏み出す必要があるのです。
原文はこちら
Software supply chain security improving
Jan. 9, 2023 Mike Vizard
https://blog.barracuda.com/2023/01/09/software-supply-chain-security-improving/
