Enhance Your Cybersecurity With An SBOM
2023/05/04 SecurityBoulevard — SBOM が提供するサイバー・セキュリティの利点は、ずっと以前からソフトウェア開発のライフサイクルで、使用されていなかったことが不思議なくらいのものだ。現代のソフトウェア開発では、オープンソースがコアとして用いられるため、SBOM を必要とする声が増している。
ある報告書によると、監査されたコードベースの 75% が、既知のセキュリティ脆弱性を持つオープンソース・コンポーネントで構成されていたという。さらに問題なのは、コードベースの 91% が、オープンソースの依存関係を含んでいるが、これまでの2年間において、それらのアップグレード/コード修正/セキュリティ対応が行われていないという現実である。
このようなコンポーネントの脆弱性を悪用する攻撃者が、膨大な数のシステムを危険にさらすというインシデントが、数え切れないほどのレベルで発生している。最新かつ正確な SBOM があれば、分析/報告ツールに情報が供給され、影響を受けた組織は効果的にセキュリティ障害を軽減できたはずだ。それにより、欠陥のある依存関係の可視化も可能になるはずだ。
しかし、過去は過去である。Rezilion の最新ホワイトペーパーでは、可視性/透明性の向上や迅速な修復能力といった、SBOM の活用により得られる、説得力のある大局的なセキュリティ上のメリットと、その開始方法について検証が行われている。
Dynamic SBOM によりサイバー・セキュリティ態勢が強化される
ソフトウェア・コンポーネントが、以前に確認された脆弱性の影響を受けやすいかどうかを判断するためにも、SBOM は有効である。Gartner が指摘するように、脆弱性を特定/監視する必要があるのは、オープンソース・ライブラリだけではない。それらのコンポーネントには、社内で開発されたものや、商業的に調達されたものも含まれる。
ソフトウェア・サプライチェーンは、目まぐるしいスピードで成長を続けている。Java/JavaScript/Python/.NET という、4種類のオープンソース・エコシステムには、合計で 37,451,682 種類のバージョンを持つコンポーネントが含まれている。2021年には、上流のオープンソース・エコシステムの弱点を突く、ソフトウェア・サプライチェーン攻撃が前年比で 650% も増加した (Synopsys)。
悪用されるのは、一般に公開されている脆弱性だけではない。いまの攻撃者たちは、オープンソース・プロジェクトに悪意のコードを積極的に埋め込んでいる。
SBOM は、コードの出所や、コンポーネント間の依存に関する情報を生成/検証するものだ。この情報は、ソフトウェア・エンジニアリング・チームが、開発中に検出するコード・インジェクションなどの脆弱性や、デプロイ中に検出するバイナリ改ざんなどの脆弱性に対する、悪意の攻撃をあぶり出すのに役立つ。
また、SBOM は SDLC (Software Development Life Cycle) におけるリアルタイムな変化に対応できるため、動的であればあるほど、その価値は高まる。そのため、変更が加えられるたびに自動的に更新を取り入れる SBOM を、組織として選択することが重要となる。結局のところ、情報は最新でなければ意味がないのだ。
Dynamic SBOM は、優先してパッチを適用すべき脆弱性を開発者に対して警告する。
サイバー・セキュリティの強化は大きな信頼につながる
ソフトウェア開発のライフサイクルを通じて、ソフトウェア・エンジニアリング・チームは、ライセンス問題なども特定できる。これらはすべて、ソフトウェア・サプライチェーンにおける信頼とセキュリティの向上につながる。
あなたの組織におけるプロジェクトを構成するコンポーネントの、正確かつ最新の情報へのアクセスを、それぞれのベンダーは支援することになる。また、セキュリティ・チームには、SBOM が正確かつ完全であることを確認するために、定期的に SBOM を見直す必要性が生じる。
いまこそ、サイバー・セキュリティ態勢を強化するために、積極的に行動し、スタートを切るべき時である。Gartner は、2022年には 20%未満だった SBOM が、2025年までに重要なインフラ・ソフトウェアを構築/調達する組織の 60% において、義務付けられ、標準化されると予測している。また、オープンソース・ソフトウェアを安全に利用するための SBOM を、生成/検証する機能を持つ SCA ツールが、2022年の 30% から、2024年の 90% へと増加すると予測している。
オープンソースの依存関係を特定して、問題を追跡するためにも、SBOM は有効です。この記事のベースになっているのは、Rezilion の How To Use A Software Bill of Materials (SBOM) To Improve Your Cybersecurity というレポートですが、Synopsys の 2023 OSSRA Report も参照データとして使用されています。よろしければ、SBOM で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.