サプライチェーンはCOVID-19パンデミックの真っ只中ほど複雑ではありませんが、依然として大きなセキュリティ問題が存在します。Venafiが1,000人のCIOを対象に実施した新たな調査では、80%以上が自社がソフトウェアサプライチェーンを標的としたサイバー攻撃に対して脆弱であると回答しました。昨年だけでもサプライチェーン攻撃の発生率が51%急増したため、こうしたサイバーセキュリティのギャップは多くの企業にとって依然として大きな懸念事項となっています。
「デジタルトランスフォーメーションによって、あらゆる企業がソフトウェア開発を行うようになりました。その結果、ソフトウェア開発環境は攻撃者にとって大きな標的となっています」と、Venafiの脅威インテリジェンスおよび事業開発担当バイスプレジデント、ケビン・ボセック氏は述べています。「ハッカーたちは、サプライチェーン攻撃を成功させることが非常に効率的で、より利益率が高いことを発見したのです。」
さらに、CIOの85%は、取締役会またはCEOから、ソフトウェア開発およびビルド環境のセキュリティ強化に向けた具体的な指示を受けています。しかし、どのようにすればそれが実現できるのでしょうか?という疑問が残ります。
組織はサイバー攻撃を阻止するために十分な対策を講じているでしょうか?
昨年と比べてソフトウェアサプライチェーンへのサイバー攻撃が急増したことで、企業は直ちに対策を講じなければ、自らも被害者リストに加わってしまうという現実が浮き彫りになりました。こうした潜在的なセキュリティギャップに対処するため、調査対象者の84%が、過去1年間で自社のサプライチェーン保護に予算のより大きな部分を投入したと回答しています。
具体的には、CIOは、セキュリティ対策の導入強化(68%)、コードサイニングの活用拡大(56%)、オープンソースライブラリの出所確認(47%)などを通じて、アプローチを変えてきたと述べています。しかし、セキュリティ対策の変更には、ソフトウェアビルドパイプラインのセキュリティ強化に向けた根本的な構造改革が必要となるため、セキュリティ対策の変更に消極的なCIOや企業もいます。
「CIOはソフトウェアサプライチェーンのセキュリティ強化の必要性を認識していますが、リスクがどこにあるのか、どの改善が最もセキュリティ向上に繋がるのか、そしてこれらの変更が長期的にどのようにリスクを軽減するのかを正確に判断することは非常に困難です」とボチェック氏は述べています。「既存の方法論ではこの問題は解決できません。構築・使用するコードのアイデンティティと整合性について、新たな視点で考える必要があります。そして、開発プロセスのあらゆる段階で、マシンのスピードでコードを保護し、セキュリティを確保する必要があります。」
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
コード署名はサプライチェーン攻撃を阻止する答えになるかもしれない
CIOの62%は、自社の情報セキュリティチームがソフトウェア開発・ビルド環境のセキュリティに充てられた予算の管理を担当していると回答していますが、それだけでは不十分だとVenafiは指摘しています。同社の調査結果によると、情報セキュリティチームはソフトウェアビルドパイプラインの複雑な部分に対処するために必要な深い知識を有していません。悪意のある第三者が保護が不十分なCI/CDパイプラインに侵入し始めている中、組織はこれらのサプライチェーンを保護するためにコードサイニングを導入すべき時が来ています。
脆弱なシステムにコードサイニングを導入することで、企業は未署名のマルウェアがサプライチェーン、ひいては顧客基盤に甚大な被害をもたらす前に、それを捕捉することができます。回答者の71%のCIOはコードサイニング関連の予算が増加していると回答し、56%はサイバー攻撃の増加リスクを軽減するために、コードサイニングの導入拡大に取り組んでいると回答しました。
Verafi 氏によると、企業は組織のサイバーセキュリティ体制を再構築しながら、たとえ短期的には成長の痛みを感じるとしても、より多くのコード署名プロセスを採用する必要があるとのことです。
