NIST charts course towards more secure supply chains for government software
2021/06/22 DailySwig — UPDATED 米国の National Institute of Standards and Technology (NIST) は、急増するソフトウェア・サプライチェーン攻撃の脅威に対する連邦政府機関の防御力を強化するために、情報セキュリティ業界から提出された一連の提言をまとめた。
連邦政府がソフトウェア調達とセキュリティに取り組む際の指針となる、スタンダードとガイドラインの作成を目的として、さまざまな技術系/情報セキュリティ系の組織からの提案を、NIST が取りまとめている。バイデン大統領の指示により、6月の初めに NIST は 1,400人の参加者を集めてバーチャル・ワークショップを開催し、Microsoft / Google / Linux Foundation などから提出された 150の提言書を発表した。
SolarWinds や Codecov のアプリケーションに対する攻撃や、3月に発生した依存関係の混乱によるオープンソース・リポジトリに侵入した悪意のパッケージの氾濫などの、注目を集めるサプライチェーン攻撃が相次いだことを受けて、今回の発表に至っている。この5月に、サイバーセキュリティの観点からサプライチェーンにフォーカスする指針が示されたが、バイデン政権は、特に「クリティカル」なソフトウェアのセキュリティを確保するための、「より厳密で予測可能なメカニズム」を求めている。
しかし、業界からのフィードバックによると、「クリティカル」の定義さえも難しいとのことだ。たとえば、Software Engineering Institute (SEI) は、NIST の論文募集に対する回答の中で、「クリティカルという呼称を決定するためには、ソフトウェアの使用状況が切り離せない」と述べている。具体的に OpenSSH の使用例を挙げて、「猫の写真をホスティングする趣味の Webサーバと原子力発電所では、侵害された場合の被害の深刻さがが異なる」と付け加えている。また SEI は、クリティカルなソフトウェアの「静的」な定義を採用することに警告を発し、その代わりとして、Stakeholder-Specific Vulnerability Categorization (SSVC) によりサポートされる「メカニズム」という指定を推奨している。
Google からのコントリビューションが面白そうなので、ちょっと追いかけてみます。それは、ソフトウェア・サプライチェーン全体におけるソフトウェア成果物の完全性を保護するために設計された、Supply chain Levels for Software Artifacts (SLSA) という End-to-End のフレームワークです。Google は SLSA のことを、source-build-publish の開発ワークフロー全体を網羅した、初めてのフレームワークと位置づけています。この Salsa と発音されるフレームワークは、4つのレベルにわたる、段階的に採用できるセキュリティ・ガイドラインで構成されています。具体的には、SLSA 1:自動化された起源からの(ゼロからの?)生成ビルドプロセス 〜SLSA4:外部から遮断された2人でレビューする再現性のあるビルドプロセス、まであるそうです。
Google が立ち上げる SLSA はサプライチェーンのを護るフレームワークだ
API ファースト時代のアプリケーション保護を再考する
米大統領令 2021:クラウドとゼロトラストとサプライチェーン
REvil ランサムウェアは MSP サプライチェーン攻撃により 200社に影響を及ぼす
IoT OT Security News 