アプリケーションを外部攻撃の標的にさせないためのセキュリティ 2022年

リックソフトブログ

2022年07月13日

アプリケーションを外部攻撃の標的にさせないためのセキュリティ 2022年

Author

大塚 和彦 Kazuhiko Ohtsuka

大塚 和彦</mt:Var>

  

皆さん、こんにちは。

唐突ですが、最近、自宅のベランダに鳩が来るようになり、攻撃?を受けております。(鳩は攻撃をしていると思っていません)
このような外部からの攻撃に対処する方法について、お知らせさせていただきたいと思います。

鳩からの攻撃ではなく、最近話題のアプリケーションへの攻撃について、お話させていただきます。

SolarWinds社のサプライチェーン攻撃の脅威は、どこの会社でも存在する

リックソフト株式会社ではオープンソースソフトウェア(以下、OSS)の脆弱性検出と対策支援、ライセンスコンプライアンス遵守支援を行うツール「Mend SCA(旧WhiteSource)」という製品を提供しています。

大手市場調査会社のアナリストからの話では、2019年〜2020年頃はOSSライセンスのコンプライアンス遵守やDevSecOpsなどの相談が多かったですが、2020年後半からサプライチェーンの見直しやSBOM(Software Bill Of Materials:ソフトウェア部品表)への対応に関する相談が増えはじめたということです。

その理由は、2020年12月に全米を震撼させたSolarWinds社のサプライチェーン攻撃によるハッキング事件です。ほとんどの企業が同じ脅威(セキュリティリスク)をもっていることに気づき、問題視し始めたからです。

ソフトウェア開発会社に開発を委託し、納品されたソフトウェアに「脆弱性が存在しないか?」「危険なOSSライセンスのソースコードを使用していないか?」というチェックまで行っている企業は、それほど多くありません。

対策をしている企業でも、契約書に脅威(リスク)を回避する条項を記載しているくらいなのではないでしょうか。

健全な状態であることを証明したソフトウェア開発が求められていることは間違いありません。

市場レポート「サプライチェーン攻撃の重要度は増す」

それら証明するように、2021年7月29日に欧州ネットワーク情報セキュリティ機関(ENISA)は、2021年にはサプライチェーン攻撃は2020年と比較して4倍も増加し、今後も増え続けると発表されました。

大手市場調査会社:Forrester社も、2022年5月19日に「The State Of Application Security, 2022」という調査レポートから、アプリケーションの外部攻撃の脅威という点で1位:ソフトウェア脆弱性、2位:サプライチェーン攻撃、3位:Webアプリケーションのエクスプロイトという結果が発表されました。

このForrester社のレポートではAPIに関する脅威(リスク)も提唱しています。

Forrester: The State of Application Security, 2022(英語版)

いま組織全体で見直し必要となったセキュリティ戦略

話が違う方向に飛んでしまいますが、最高情報セキュリティ責任者(CISO)の役職者、もしくは相当する役割をもつ情報システム部門マネージャーが存在する企業では、前述のような背景からセキュリティポートフォリオの再設定を行なっていることと思います。

またセキュリティポートフォリオを定義するとともに、情報システム部門の在り方も大きく変わりつつあります。

ビジネス部門では急激な変化に対応するため、自らが考え素早く対応する方向に向かっていることと思います。それら全てを情報システム部門が管理するということは非常に困難ですので、セキュリティ統制するために必要なIT共通基盤を構築する必要がでてきました。

例としては、1つは外部サービスや他アプリケーションと接続するためのAPI連携統合基盤などです。さまざまなクラウドサービス(SaaS)やアプリケーションが、網目のようにAPI連携した場合、それらを把握することは難しくなります。まさしくSolarWinds社の事件のように、脅威(リスク)にすら気がつかず、発見が遅れてしまうことにもつながります。

情報システム部門でガイドラインやポリシーを作成し、外部連携するためのコネクタと接続アカウントなどを管理することが必要になります。

この部分については、話が長くなるので機会があればブログで書きたいと思っています。

サプライチェーン攻撃から身を守るために

話をもどして、サプライチェーン攻撃にどのように対応するのかという点ですが、まずは3つの要素をお伝えします。

サプライチェーン攻撃から身を守る3つの要素

  • サプライヤーとの情報共有
  • サプライヤーからの成果物チェック(脆弱性チェック、ライセンスポリシー違反チェックなど)
  • アプリケーションの配布先の管理

うろ覚えですが、ISO26262(機能安全の国際規格)の方が厳しいですが、これに近いことが書いてあったような気がします。(間違っていたらすみません)

まず当社として支援できることとして、

  • サプライヤーからの成果物チェック(脆弱性チェック、ライセンスポリシー違反チェックなど)

の部分で、Mend SCA(旧WhiteSource)によってご支援ができると考えています。

まずは、Mend社(旧WhiteSource社)では、3つのレポートを発行しており、当社で日本語訳をいたしましたので、ご興味ある方はご覧ください。

ソフトウェアサプライチェーンを保護するためのSBOMの重要性

オープンソースライセンス完全ガイド 2022年版

オープンソースセキュリティ完全ガイド 2022年版

■Mend SCA(旧WhiteSource)の説明・動画ページ

                       

Mend SCA(旧WhiteSource)について詳細を知りたい方はこちら

製品詳細ページ

Mendをお試ししたい方はこちらからお申し込みください

Mend SCA(旧WhiteSource)の評価申し込み               
                                                 

本情報はブログを公開した時点の情報となります。
ご不明な点はお問い合わせください。

        

お問い合わせ         

  
本ブログのカテゴリ: Mend SCA(旧WhiteSource)

カテゴリ一覧

最近の記事

年別アーカイブ

  

アトラシアン製品の導入と活用を
成功させたいなら
リックソフトのサポートが
必要です。

サードパーティ製のアドオンもサポート

サードパーティ製のアドオンもサポート

RS標準サポート

アトラシアン社ではサポート範囲外となっているサードパーティ製のアドオンをリックソフトのRS標準サポートではサポートします。

  • アトラシアン製品とサードパーティ製のアドオンとの事象の切り分け
  • 海外のアドオンベンダーとのやり取りを代行(日→英/英→日)

リックソフトのRS標準サポートは開発元が提供するサポート以上の価値があります。

サポートについて

ツールの活用を促進するアイテム

ツールの活用を促進するアイテム

各種ガイドブック

ツールを導入しただけでは成功とはいえません。利用者が効果を感じていただくことが大切です。独自で制作した各種ガイドブックはツール活用を促進します。

リックソフトからライセンス購入を頂いたお客様にはガイドブックを無料進呈いたします。

ガイドブックについて

価値あるツールの使い方

価値あるツールの使い方

研修・トレーニング

ツール操作の研修だけでなく「ウォータフォール型開発」「アジャイル型開発」のシミュレーション研修も提供。

日本随一の生産性向上にも効果のある研修サービスです。

リックソフトからライセンス購入を頂いたお客様には無料招待や割引特典がございます。

研修について

PAGE TOP