NSA と CISA のガイダンス:サプライチェーン攻撃から組織を守るために

NSA and CISA share tips to secure the software supply chain

2022/09/01 BleepingComputer — 今日、米国の NSA と CISA (Cybersecurity and Infrastructure Security Agency) は、ソフトウェア・サプライチェーンを保護するためのチップスを発表した。この指針は、米国の重要インフラと国家安全保障シdesuステムに対する脅威に対処する、官民パートナーシップである Enduring Security Framework (ESF) により、ソフトウェア開発者向けの推奨事例集として作成されたものだ。


この国防総省傘下の情報機関は、「開発者のためのソフトウェア・サプライチェーンの保護は、業界と政府により評価された推奨事項を通じて、開発者によるセキュリティの達成を支援するために作成された」と述べている

このフレームワークには、「安全なコードの開発/サードパーティ・コンポーネントの検証/ビルド環境の強化/コードの配信について、NSA とパートナーからの有益なガイダンスが開発者に提供される。すべての DevOps が、DevSecOps に到達するまで、ソフトウェア開発ライフサイクルは危険にさらされる」と記されている。

ESF は、ソフトウェア・サプライチェーンのライフサイクルに合わせて、このシリーズに含まれる2つのパートで、ソフトウェアの提供者と顧客に焦点を当てたアドバイザリーをリリースする予定だ。

また、安全なコードの開発/サードパーティ・コンポーネントの検証/ビルド環境の強化/コードの安全な配信の方法については、本日のアドバイザー [PDF] で詳細な情報を得ることが可能となっている。

NSA software supply chain guidance tweet

SolarWinds ハッキングのような、最近の著名なサイバー攻撃において、国家を後ろ盾とする脅威グループに容易に悪用されてしまう、ソフトウェア・サプライチェーンの弱点が浮き彫りになったことで、このアドバイザリーは発表された。

2020年12月に FireEye がネットワーク侵害に遭ったことを明らかにした後に、複数の米国政府機関が SolarWinds のサプライチェーン攻撃にさらされたことで、サイバー攻撃に対する国家の防衛を近代化するための大統領令が、2021年5月に署名された。

2021年1月にホワイトハウスは新たな連邦戦略を発表し、米国政府でゼロトラスト・セキュリティ・モデルを採用することを明示した。この動きは、バイデンの大統領令を受けたものであるが、2021年2月に NSA と Microsoft が、重要ネットワーク (国家安全保障システム/国防省/防衛産業基盤) に対して、ゼロトラスト・アプローチを推奨したことにも起因している。

また、2022年5月には、米国国立標準技術研究所 (NIST) が、サプライチェーン攻撃から企業を防御するための最新のガイダンスを発表している。

2021年10月に公表された Microsoft のレポートには、ロシアが支援する脅威グループ Nobelium が、SolarWinds をハッキングした後の行動が詳述されている。2021年5月以降において、この驚異グループは、140件の マネージド/クラウド・サービス・プロバイダを攻撃し、少なくとも 14社への侵入に成功し、世界の IT サプライチェーンをターゲットにし続けていることが明らかにされた。

Microsoft による調査の結果では、単一の製品を侵害するだけのソフトウェア・サプライチェーン攻撃は、それを使用する多数の下流企業に影響を与えるため、脅威アクターのターゲットとして好まれていることが示されている。

また、ロシアの脅威アクターが SolarWinds を侵害し、その下流の顧客を感染させてからというもの、サプライチェーン攻撃の背後にある危険性が証明され続けている。世界中の 1000社以上のシステムを、暗号化するために悪用された Kaseya の MSP ソフトウェア侵害や、リモートコマンドの実行に使われた npm モジュールにより、現実世界における攻撃シナリオが明らかにされたのである。

この、NSA と CISA によるガイダンスは、本文が 35ページ、Appendix を含めると、全体で 59ページにおよぶ長編のドキュメントです。文中にもあるように、Develop Secure Code/Verify Third-Party Components/Harden the Build Environment/Deliver Code といった項目が、目次に並んでいます。メアドなども要求されずに、簡単にダウンロードできますので、ぜひ、ご参照ください。

%d bloggers like this: