Secure Software Manager 10-18-2021

サプライチェーンを通して、ビジネスを如何に保護するか

Brian Honan

COVID-19のパンデミックは、私たちの個人的な生活とビジネスの生活の両方において、多くの変化をもたらしました。ロックダウンや日常生活の制限、経済への影響など、すべての変化がポジティブなものではありませんでした。しかし、ポジティブな変化もあります。リモートワークの増加、クラウドコンピューティングなどの新しいデジタルワークスタイルを採用する企業の増加、個人レベルでは自分自身をより大切にする方法を考えるなどです。

今回のパンデミックで、私自身が新たに得たものは、できる限り車をやめて、自転車を頻繁に使うことです。私は今、できるだけ自転車で通勤しています。5キロの快適な通勤ですが、アイルランドの冬が近づいてきたら、考えを変えるかもしれません。サイクリングがサイバーセキュリティとどう関係するのか、という声が聞こえてきそうです。ある朝、自転車のチェーンが切れてしまうまでは、このようなつながりはありませんでした。

私は、"A chain is only as strong as its weakest link"(鎖は最も弱いものの上に成り立つ)という古い決まり文句について考えました。しかし、システムの一部分(自転車のチェーン)の故障や不具合が、システム全体(自転車)に甚大な影響を与え、それがシステムの外にも様々な影響を及ぼすことがあることに気づかされました。今回のケースでは、チェーンが切れたことで仕事に遅刻し、その日の朝一番に予定していたチームとの会議を延期しなければなりませんでした。

サイバーセキュリティの分野では、システムの小さな部分への攻撃が大きな影響を与えることがあります。今年の初め、私たちはColonial Pipeline社の請求システムに対するランサムウェア攻撃を目撃しました。課金システムがランサムウェアに感染し利用できなくなると、Colonial Pipeline社は顧客に送付する請求書を発行することができなくなりました。そのため、ガスパイプライン自体には直接の影響はありませんでしたが、Colonial Pipeline社は、課金システムが復旧するまでパイプラインを停止する決断を下しました。これに伴い、米国東海岸の一部のガソリンスタンドでは、ガソリンの価格が上昇しました。

最近では、マネージドサービスプロバイダ(MSP)やITチームのためのITマネジメントソフトウェアのプロバイダであるKaseyaに対するランサムウェアの攻撃がありました。攻撃者は、Kaseyaのディストリビューションサーバにランサムウェアを感染させ、そのランサムウェアをMSPに配布し、これらのMSPがそのマルウェアをクライアント環境に拡散させました。60社以上のMSPと1,500社以上の企業が影響を受けたと推定され、攻撃を仕掛けた犯罪者は7,000万ドルの身代金を要求したと言われています。スウェーデンのあるスーパーマーケットチェーンでは、このランサムウェアの攻撃を受けた結果、POSシステムが作動せず、店舗の営業を停止せざるを得ませんでした。その結果、多くのスウェーデンの人々が通常の買い物ができなくなってしまったのです。

これらの攻撃は、現代のビジネスの複雑さを示しており、パートナー、顧客、サプライヤー、その他のベンダーなどの第三者にいかに相互依存しているか、また、サプライチェーンの一部分の混乱がいかにビジネスに影響を与えるかを示しています。多くの企業は、インターネットサービス、相互接続されたネットワーク、API統合、またはその他の多くの種類の接続を介して、他の企業と密接に関連しているため、この第三者リスクは指数関数的に増大しています。

このサードパーティのリスクを管理するための従来からあるアプローチは、米国商務省標準化技術研究所(NIST) SP-800、COBIT、ISO 27001:2013 Information Security Standardなどの業界のグッドプラクティスに基づいたセキュリティアンケートをベンダーに送付することでした。より洗練されたアプローチは、これらのアンケートをスプレッドシートに変換し、ベンダーに質問に答えてもらい、その答えを裏付ける証拠を用意して、完成したアンケートを返送してもらうというものです。このアンケートをベンダー管理の責任者が確認し、回答が問題なければ、そのベンダーは取引に十分な安全性を備えていると判断されます。このプロセスは、毎年繰り返されるかもしれませんし、多くの場合、二度と繰り返されないかもしれません。

サプライチェーン、特にソフトウェアサプライチェーンのようなダイナミックで変化し続けるサプライチェーンのセキュリティ確保は、ベンダーが無数の質問に答えてセキュリティ機能を詳細に説明することに頼るチェックリストベースのプロセスから、より積極的で検証可能なアプローチへと移行する必要があります。

特にソフトウェアのサプライチェーンにおいてデジタル証明書を使用することで、サードパーティのシステム、アプリケーション、データが信頼できる検証済みのソースから提供されていることを、組織は確信することができます。ソフトウェアのサプライチェーンにデジタル証明書を採用することで、お客様とお客様のパートナーは、サプライチェーン内のすべての関係者が正当であり、すべてのやり取りが安全に行われていることを確信することができます。

デジタル証明書をソフトウェアのサプライチェーン全体に展開することで、ソフトウェアの製造プロセスの各段階ですべてのコードを検証する能力とプラットフォームが提供されます。公開鍵基盤(PKI)ベースのデジタル証明書管理ソリューションを採用することで、ソフトウェアのサプライチェーンに沿ったすべてのコードの完全性を確実に分析・検証する能力と自信を組織に与えることができます。つまり、ベンダーやそのサプライヤーがコードの一部を変更しても、ソフトウェアのサプライチェーン全体で適切に検証・分析されなければ、そのコードはお客様の本番環境の一部にはなりません。適切に設定されていれば、このプロセス全体を自動化することができ、安全なコードや承認されたコードを迅速かつ効率的に本番環境に追加することができます。また、信頼できないソースから来たコードや、適切にデジタル署名されていないコードは、最初に正式に承認されることなく、本番環境に含まれることはありません。

さらに、PKIに基づいた強固なデジタル証明書管理ソリューションを導入することで、ベンダーとの契約終了時に対応して証明書を自動的に失効させる機能や、ベンダーやそのサブベンダーの証明書が侵害された疑いがある場合に証明書を失効させる機能が提供され、ソフトウェアのサプライチェーンが安全な方法で運用されていることを管理・確信することができます。

パンデミックを受けて私たちの生活が変化し、ビジネスやプライベートで新しい生活スタイルを取り入れる人が増えたように、自転車やサプライヤーなど、私たちが頼りにしているチェーンは、堅牢で安全であり、万が一トラブルが発生した場合でも、関連する問題を迅速かつ効果的に解決できるようにしなければなりません。

UP NEXT

特集記事

デジタルトラストは IT の重要課題

04-13-2022

DigiCert CertCentral® の機能強化でさらに詳細な検出、ドメイン一括認証、その他が可能に

進化する脅威からデジタルプラネットを保護する