サプライチェーン管理ソフトウェア
23.Sep.2024
ICTサプライチェーンのセキュリティ管理はどうする?ONWARD securityが情報セキュリティの戦略を惜しみなく共有
2020年に勃発し全米を震撼させたサイバー攻撃SolarWinds事件は、サプライチェーンのセキュリティに対して世界中から注目を集めることとなった。SolarWindsは、企業のネットワーク・システム・ITインフラ設備の管理をサポートすることに特化したサプライヤーで、当時、フォーチュン・グローバル500のうち425社が同社の製品を使用しており、非常に大きな影響力を持っていた。したがって、ハッカーは計画的にSolarWindsに侵入し、最終的に10,000 社を超える企業顧客に損害を与えた。この事件は大規模なサプライチェーン攻撃であると認識された。
SolarWinds事件以降、同じようなサプライチェーンのトラストサークルを通じた攻撃が相次いでいる。その理由としては、現在は専門分業の時代であり、企業が独力で製品やサービスの提供の全てを担うのが困難であり、上流と下流のサプライチェーンやアウトソーシングベンダー、さらにはオープンソースのライブラリやコンポーネントに依存する必要があるため、攻撃者に隙をつかれ悪用されるきっかけを作ってしまったことである。そういうわけで、あらゆる業界からサプライチェーンの情報セキュリティに対する注目がさらに高まっている。
ONWARD securityの技術研究開発部長兼情報セキュリティ・コンプライアンス所長の劉建宗氏は、サプライチェーンのセキュリティは実に新しいテーマではなく、2000年頃から議論されてきたと指摘した。しかし当時、人々の主な関心は911のテロ攻撃によってサプライチェーンの混乱に対する人々の懸念を引き起こし、世界中では、ある一つの出来事がビジネスに大きな影響と衝撃を与える可能性があることを改めて再認識させられ警戒することとなった。それにより、ISO 28000サプライチェーンセキュリティマネジメントシステム規格に注目し始めたものの、情報セキュリティについてはまだ言及に至らなかった。
その後、企業の情報テクノロジーへの依存度が高まり、近年の地政学的リスクの上昇も相まって、サプライチェーンセキュリティの意味合いも変化してきた。それで、アメリカのバイデン政権はEO 14017、EO 14018などの行政命令を相次いで発令して以降、徐々にソフトウェアのサプライチェーンセキュリティ問題の標準化と規制化へと持って行った。
ONWARD securityの技術研究開発部長兼情報セキュリティ・コンプライアンス所長の劉建宗氏は、サプライチェーンのセキュリティは実に新しいテーマではなく、2000年頃から議論されてきたと指摘した。しかし当時、人々の主な関心は911のテロ攻撃によってサプライチェーンの混乱に対する人々の懸念を引き起こし、世界中では、ある一つの出来事がビジネスに大きな影響と衝撃を与える可能性があることを改めて再認識させられ警戒することとなった。それにより、ISO 28000サプライチェーンセキュリティマネジメントシステム規格に注目し始めたものの、情報セキュリティについてはまだ言及に至らなかった。
その後、企業の情報テクノロジーへの依存度が高まり、近年の地政学的リスクの上昇も相まって、サプライチェーンセキュリティの意味合いも変化してきた。それで、アメリカのバイデン政権はEO 14017、EO 14018などの行政命令を相次いで発令して以降、徐々にソフトウェアのサプライチェーンセキュリティ問題の標準化と規制化へと持って行った。
CMMC計画を参考にすることで、ビジネスパートナーの情報セキュリティの成熟度を確認
DEKRAグループの一員であるONWARD securityは、主にコンプライアンスサービスプロバイダーの役割を担っており、企業が情報セキュリティリスク評価を実施する際の最優先事項はリスクの範囲を定義して特定することであると認識している。情報セキュリティ保護の範囲を定義するには、主に3つの側面から検討できる。まずは企業内のICT、次にサービスプロバイダーが提供する環境、最後にサプライチェーンパートナーのセキュリティ性である。
劉建宗氏は、サプライチェーンの情報セキュリティの出発点は、機敏性・完全性・可用性などの指標に基づいてデータフローを調査し、リスクを評価することであると述べている。調査の焦点には、重要なデータは何か、それらのデータはどこに流れるかを理解し、それに応じて管理ポリシーやプロセスを定義することが含まれる。その際、企業は先進国の機関が策定した管理システムを参照にすることができる。例えば、アメリカのNISTが策定したガイドラインは、今後国際的標準に発展するであろう準拠するに値するシステムの一つである。現時点では、NIST 800-171、NIST SP 800-172など、サイバーセキュリティ成熟度モデル認証(Cybersecurity Maturity Model Certification, CMMC)に関連する米国軍需産業のサプライチェーン情報セキュリティ問題の規格が、どれでも参照にする価値がある。
劉建宗氏は、サプライチェーンの情報セキュリティの出発点は、機敏性・完全性・可用性などの指標に基づいてデータフローを調査し、リスクを評価することであると述べている。調査の焦点には、重要なデータは何か、それらのデータはどこに流れるかを理解し、それに応じて管理ポリシーやプロセスを定義することが含まれる。その際、企業は先進国の機関が策定した管理システムを参照にすることができる。例えば、アメリカのNISTが策定したガイドラインは、今後国際的標準に発展するであろう準拠するに値するシステムの一つである。現時点では、NIST 800-171、NIST SP 800-172など、サイバーセキュリティ成熟度モデル認証(Cybersecurity Maturity Model Certification, CMMC)に関連する米国軍需産業のサプライチェーン情報セキュリティ問題の規格が、どれでも参照にする価値がある。
サプライチェーン情報セキュリティの真の課題はSDLC
要するに、初期のサプライチェーンセキュリティは「貨物セキュリティ」に重点が置かれていたが、近年では徐々に「ソフトウェアセキュリティ」に重点が置かれるようになっている。サプライチェーンのセキュリティについて議論するとき、活用面に着目することが多いが、全てのICTセキュリティ問題は最終的にはソフトウェアとファームウェアのセキュリティ問題が原因である。したがって、企業が早急に強化する必要があるのは、ソフトウェア開発のサプライチェーンのセキュリティであると、劉建宗氏はこう強調した。この情勢に応じて、企業が注意すべき規制はNIST SP 800-218である。この規制では、企業がセキュアソフトウェア開発フレームワーク(Secure Software Development Framework, SSDF)の観点からセキュリティ開発をどのように実装するかを検討している。これには、組織には対応するリソース・人員・政策が備わり、それを推進の基礎とし、同時にソフトウェアを保護するためのメカニズムを確立し、最終製品が安全なソフトウェアであることを保証するという内容が含まれている。
劉建宗氏はNIST SP 800-218を実践すると同時に、CISのソフトウェアサプライチェーンセキュリティガイド(Software Supply Chain Security Guide)を参照することを提案している。これには、いくつかの重要なポイントが含まれている。まずは環境の管理であり、企業はソースコードが置かれている場所・コンパイル環境・パッケージ化の環境などの開発環境を管理する必要がある。次に自動化、昨今のソフトウェアセキュリティ開発の主なポイントは、ソフトウェア部品表(SBOM)にあり、企業はソフトウェアに含まれるコンポーネントを詳細にリストアップする必要があり、これは人により実行できないため、自動化されたツールを使用して開発プロセスに組み込む必要がある。続いては完全性であり、可能な限りダウンロードしたパッケージ(Package)やライブラリ(Library)の安全性を確保する。最後に責任追及性、ソースコード(Source Code)が誰から提出(Commit)され、誰がレビュー(Review)をし、誰が責任者(Owner)であるかを明確にし、その全てを完全に文書化し、情報が任意に改ざんされないようにする必要がある。
劉建宗氏はNIST SP 800-218を実践すると同時に、CISのソフトウェアサプライチェーンセキュリティガイド(Software Supply Chain Security Guide)を参照することを提案している。これには、いくつかの重要なポイントが含まれている。まずは環境の管理であり、企業はソースコードが置かれている場所・コンパイル環境・パッケージ化の環境などの開発環境を管理する必要がある。次に自動化、昨今のソフトウェアセキュリティ開発の主なポイントは、ソフトウェア部品表(SBOM)にあり、企業はソフトウェアに含まれるコンポーネントを詳細にリストアップする必要があり、これは人により実行できないため、自動化されたツールを使用して開発プロセスに組み込む必要がある。続いては完全性であり、可能な限りダウンロードしたパッケージ(Package)やライブラリ(Library)の安全性を確保する。最後に責任追及性、ソースコード(Source Code)が誰から提出(Commit)され、誰がレビュー(Review)をし、誰が責任者(Owner)であるかを明確にし、その全てを完全に文書化し、情報が任意に改ざんされないようにする必要がある。
認証メカニズムを上手に活用し、簡単に情報セキュリティチームのメンバーを立ち上げる
現時点で、台湾には比較的強くサプライチェーンの情報セキュリティの推進に取り組んでいる業界は2つある。一つ目は産業用制御システム業界。これは重要なインフラ設備をカバーしており、その安全性は人々の生活にとって極めて重要であり、問題は許されないからである。そのため、産業用制御システム業界はIEC 62443の規格に従い、資産所有者(Asset Owner)、サービスプロバイダー(Service Provider)、システムインテグレーター(System Integrator)、コンポーネントプロバイダー(Component Provider)など4つの役割に対して、それぞれ異なる情報セキュリティガイドと規格を提案している。IEC 62443フレームワークにおける重大な意義を深く掘り下げると、フレームワークを設計する際に業界のさまざまな役割を考慮に入れ、安全な業界チェーンを構築するのを目的としていることがわかる。
二つ目は自動車産業である。台湾では自動車メーカーが1.5社しかなく、複数の自動車メーカーが存在する状況ではないと揶揄されているが、ONWARD securityが自動車情報セキュリティコンプライアンスサービスを進めたところ、ICT企業からの申請が積極的であることが判明している。その理由は、自社製品を自動車に導入するためには、自動車業界のサプライチェーンセキュリティ規制に準拠する必要がある。現在、EUによって定義されたR155車両ネットワークセキュリティやR156ソフトウェアアップデートセキュリティなどの規制や、それぞれ派生したISO/SAE 21434およびISO 24089 規格など、関連する規制や規格が多数まとめられている。すべての自動車が市場に投入される前に型式承認(Type Approval)を受ける際、これらの規制への適合性もチェックされる。したがって、製品の安全性を要求されることによって、自動車メーカーはサプライヤーに完全な安全サプライチェーンを確立することを要求している。
二つ目は自動車産業である。台湾では自動車メーカーが1.5社しかなく、複数の自動車メーカーが存在する状況ではないと揶揄されているが、ONWARD securityが自動車情報セキュリティコンプライアンスサービスを進めたところ、ICT企業からの申請が積極的であることが判明している。その理由は、自社製品を自動車に導入するためには、自動車業界のサプライチェーンセキュリティ規制に準拠する必要がある。現在、EUによって定義されたR155車両ネットワークセキュリティやR156ソフトウェアアップデートセキュリティなどの規制や、それぞれ派生したISO/SAE 21434およびISO 24089 規格など、関連する規制や規格が多数まとめられている。すべての自動車が市場に投入される前に型式承認(Type Approval)を受ける際、これらの規制への適合性もチェックされる。したがって、製品の安全性を要求されることによって、自動車メーカーはサプライヤーに完全な安全サプライチェーンを確立することを要求している。
