米当局、ソフトウェアサプライチェーン攻撃を防ぐためのガイダンスを公開

今回は「米当局、ソフトウェアサプライチェーン攻撃を防ぐためのガイダンスを公開」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 米国家安全保障局(NSA)と、米サイバーセキュリティ・インフラセキュリティ庁(CISA)、米国家情報長官室(ODNI)は米国時間9月1日、ソフトウェアサプライチェーンに関する新たなセキュリティガイダンスとして「Securing the Software Supply Chain / Recommended Practices Guide for Developers」(ソフトウェアサプライチェーンを守る/開発者向け推奨プラクティスガイド)を公開した。その目的は、プロプライエタリーな、あるいはオープンソースのソフトウェアを標的としたサイバー攻撃を避けられるよう開発者を支援することだ。

 米国の民間分野や公共分野の組織は、サプライチェーン攻撃から自らを守る上でこのガイダンスを活用できるはずだ。こういったサプライチェーン攻撃には、ロシア対外情報庁(SVR)のハッカーらによるSolarWindsとその顧客に対する攻撃が含まれている。

 同ガイダンスには「SolarWindsとその顧客に対する攻撃や、『Log4j』などの脆弱性を悪用するエクスプロイトといった最近のサイバー攻撃により、ソフトウェアサプライチェーン内の弱点が浮き彫りになった。この問題は、商用ソフトウェアとオープンソースソフトウェアのいずれもが抱えており、民間組織と政府組織の双方に影響を及ぼす」と記されている。

 また同ガイダンスは、国家を後ろ盾とする攻撃者が類似の戦術やテクニック、手順を用いることで、ソフトウェアサプライチェーンが武器化されるという可能性を広く周知していく必要があるとも記している。

 NSAとCISAが率いる、公共と民間の業界をまたがるワーキンググループであるEnduring Security Framework(ESF)は、SolarWindsへの攻撃に至るまでの出来事を調査した後、このガイダンスを作成した。ESFは、Joe Biden米大統領によるサイバーセキュリティに関する連邦機関向けの大統領令を受け、開発者やベンダー、顧客からの要求に応えるべく設立された。

 この出来事は、国家を後ろ盾とするハッカーたちが、ソフトウェアのサプライチェーンには、既知の、あるいは公になっていないソフトウェア脆弱性と同じくらいの価値が存在しているという事実に気付いたことの表れと言えるだろう。

 NSAは、CISAとODNIとの共同発表に、「SolarWindsに対する攻撃につながった出来事をESFが調査した結果、ソフトウェア開発者のニーズにフォーカスしたベストプラクティス一式を確立するための投資が必要だということが明らかになった」と記している。

 このガイダンスでは、ソフトウェアサプライチェーンにおいて、開発者が重要な役割を担うことを認識している。その一方でこれら政府機関は、ソフトウェアのベンダーとその顧客を直接対象にしたベストプラクティスのガイダンスもリリースする予定だ。

 これら政府機関はベンダーの責任についても言及しており、これには契約上の合意や、ソフトウェアのアップデート、脆弱性の通知と緩和を通じたソフトウェアの完全性とセキュリティの保証が含まれている。

 このガイダンスは、セキュアな開発プラクティスや、組織内部における脅威、オープンソース、サードパーティーコンポーネントの検証、ビルド環境の強化、コードの配布といった内容を網羅している。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
余った新型コロナワクチンを地図に表示 足りない医療施設とマッチング 福岡市で実証実験
企業・業界動向
2021-06-20 11:42
Instagramがストーリーでの縦スワイプ操作開発を認める
ネットサービス
2021-02-06 12:02
グーグル、「Android 15」を正式発表–オンデバイスAIモデルを搭載
IT関連
2024-08-15 02:24
「Amazon RDS Blue/Green Deployments」登場。ステージング用データベースの構成、本番DBとの同期、安全な切り替えなど提供
AWS
2022-11-29 01:31
「Banking-as-a-Service」を大手銀行などが新たな収入源として展開し、2年以内にメインストリームとなるとガートナーが予測
クラウド
2022-09-16 21:28
ゲルシンガー氏が率いるインテルのこれから
IT関連
2021-01-20 19:39
マイクロソフト、セキュリティ上の懸念から「Recall」機能の搭載を延期
IT関連
2024-06-18 17:56
各分野のコラボレーション進む–Appier、AIトレンドの2020年総括と2021年予測
IT関連
2021-01-21 18:53
日本IBM、ハイブリッドクラウドとAIへの取り組み状況を説明
IT関連
2021-06-11 08:01
アトラシアン、「Confluence」を更新版公開–深刻な脆弱性を修正
IT関連
2022-06-08 11:36
アマゾン、ロシアでPrime Videoへのアクセスと同国への商品出荷を停止
IT関連
2022-03-11 23:22
コロナ禍でパパ活蔓延 SNSで飛び交う隠語……企業公式アカウントで“誤爆”も
IT関連
2021-04-03 07:14
グーグルがタブレットや折りたたみスマホに最適化した「Android 12L」を正式発表、2022年中に対応機種に提供
IT関連
2022-03-09 08:48
上越市、DX推進基盤にHPE GreenLake採用–セキュアなVDI環境を「as a Serviceモデル」で導入
IT関連
2023-03-25 17:26