ソフトウェアサプライチェーンリスクの軽減策について...

こんにちは、丸山満彦です。

ソフトウェアサプライチェーンに関連するサイバーインシデントは2021年ごろに、SolarWinds社、Codecov、Kaseya社、Log4j など続いたわけですが、リスク管理的にいうと、発生可能性が低い（全ソフトの中で、問題となるソフトが含まれている可能性が低いと言う意味で）が、発生した場合の影響が非常に大きくなる場合があり、かつ現在の状況で言うと、対策コストがかかりそうと言うことで、悩ましい問題となっていますね。。。また、自然災害と異なり、潜伏していて被害に気づかない状況が長期間続く場合もあると言うことですね。。。そして、この問題が、国家安全保障を含む、国民の生活、生命、経済に大きく影響する場合もあると言うことですね。。。で、DXが進むとさらに、国民への影響が大きくなっていく...

米国では、事件を受けて大統領令 (EO) 14028を出して、ソフトウェア成分表・部品表 (SBOM) と言う解決策を推進しつつあり、日本もSBOMの導入に向けての検討をしているわけですが、なかなかに難しい問題があると言うのは聞いています。。。

かといって、重大な脆弱性が発見されるごとに、すべてのソフトウェアをスキャンすると言うわけにもいかないようにも思いますしね。。。

なんか、重要な脆弱性を見落とさない、かつ、対策が容易な方法があれば良いのですけどね。。。

永遠の2000年問題的な感じがします。。。

 

最近RANDに掲載されていた(元は、The Hillに掲載)、Sasha Romanoskyさんの記事が簡単にまとまっていてわかりやすかったですかね。。。

 

● RAND

・2023.01.26 Software Supply Chain Risk Is Growing, but Mitigation Solutions Exist COMMENTARY (The Hill)

 

どんなことが書いているかというと...

社会全体としてソフトウェアの脆弱性管理が難しい理由

1. オープンソースのパッケージやライブラリの数が非常に多い (GitHubには2億以上のソフトウェアがポストされている。JavascriptとPythonは2019年当時でも合わせて100万以上のパッケージをサポートしている）
   
   
2. 組織はどのようなソフトが使われているかほとんど知らない
   
   
3. リスク分析のツールがない（大統領令の影響もあってSBOMが普及しつつあるが、どの階層まで詳細に記載すべきか。コストがかかりそうな割に、どれほど有益なのか見極めがついていない）

と言うことを挙げているように感じました。。。

で、リスク軽減を支援する手法の一つとして、

• Libraries.ioやdeps.devの活動を紹介しています。。。ソフトウェア開発者であれば知っていると思いますが。。。
  

 

deps.dev

 

また、

SBOM の作成と使用が進めば、ユーザは自分でアプリケーション間でSBOM を比較し、

• 最も危険なコンポーネントを特定することに熟達するかもしれない。。。

で、それをサポートしそうな活動として、FIRSTの活動を紹介しています。

 

● FIRST

・Common Vulnerability Scoring System SIG

・Exploit Prediction Scoring System (EPSS)

二人いる共同チェアの一人がこの記事の著者のSasha Romanoskyさん...

・・What is EPSS?

2021年5月16日のデータを基にした、EPSSとCVSSのスコアの相関関係から対策の優先順位を考える上では有益？

 

実際のエクスプロイトデータの検証...

ある脆弱性のサンプルについて、実際に観測されたエクスプロイトを示したもの

・各行は個別の脆弱性（CVE）

・青線は観測されたエクスプロイト（エクスプロイトが成功したかどうかは確認していない ）

・赤点は、CVEが公開された時刻

効率的、効果的な対策を考えないとですね。。。

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

 

大統領令

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

 

ソフトウェア資産の管理...

・2022.10.06 米国 CISA 拘束的運用指令23-01 - 連邦ネットワークにおける資産の可視化と脆弱性検出の改善

 

一部SBOMについて言及した報告（サイバーセキュリティ法制度の国際動向等に関する調査 報告書 ）があります...

・2022.07.16 経済産業省 令和３年度委託調査報告書（サイバーセキュリティ関係） 2022.07.14現在

 

 

脆弱性の評価

・2022.11.17 CISA ステークホルダー別脆弱性分類 (SSVC) ガイド

・2022.06.11 NIST NISTIR 8409 (ドラフト) 共通脆弱性評点システムの基礎評点の計算式の測定

・2021.04.30 カーネギー大学 ソフトウェア工学研究所が「Stakeholder-Specific Vulnerability Categorization:SSVC 2.0」を発表していますね。。。

昔に遡り。。。

・2010.10.25 IPA 共通脆弱性評価システムCVSS概説

・2007.04.26 JVN は、名称をJP Vendor Status Notes (JVN) から、Japan Vulnerability Notes (JVN) と変更しました

 

 

 

サプライチェーン関係 (SP800-161, DevSecOpsなど）

・2022.11.12 NIST ホワイトペーパー【プロジェクト概要】ソフトウェアサプライチェーンとDevOpsのセキュリティ実践：リスクベースアプローチによるDevSecOpsの実践

・2022.07.26 NIST White Paper (Draft) [プロジェクト概要] ソフトウェアサプライチェーンとDevOpsセキュリティの実践：リスクベースアプローチによるDevSecOpsの実践

・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

・2022.02.06 NIST ホワイトペーパー： 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス

・2021.12.13 Apache Log4j 2 の脆弱性 (CVE-2021-44228)＋ ソフトウェアの管理 + 脆弱性情報の管理

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践（第2次ドラフト）

・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義：大統領令14028に応えて...

・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。

・2021.05.01 NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践

・2020.03.01 NISTに基づくSupply Chain Risk Managementについてのちょっとしたまとめ

・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。

 

SP800-218 セキュアソフトウェア開発関係

・2022.02.06 NIST SP 800-218 セキュアソフトウェア開発フレームワーク (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項

・2021.10.02 NIST SP 800-218 （ドラフト）セキュアソフトウェア開発フレームワーク (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項