![](/content/dam/pwc/jp/ja/knowledge/column/awareness-cyber-security/assets/images/only-prop-a124312180.jpg/jcr:content/renditions/cq5dam.thumbnail.319.319.png)
欧州サイバーレジリエンス法~製造業が今すぐに取るべき対策~
欧州サイバーレジリエンス法(CRA)は、デジタル要素を含む製品のサイバーセキュリティを強化するための規則です。対象製品は規則に準拠していることを示すCEマークが必要となります。本稿では、製造業者が対応すべきCRAの法令要件の範囲やCEマーク利用のための適合性評価の流れを解説します。
2022-04-20
本稿はSBOMが求められている背景と期待される効果および活用事例について解説する連載の第2回です。第1回では上流で発生した事象が下流全体に影響を及ぼすというソフトウェアサプライチェーンの構造的な課題と、その解決策としてソフトウェア部品表(SBOM:Software Bill of Material、「エスボム」と発音)の普及が本格化していることを解説しました。第2回の今回はソフトウェアサプライチェーンリスクが顕在化した主な事例を取り上げ、SBOMによってどのような解決が可能か考察します。
SBOMがソフトウェアサプライチェーンに提供する価値は透明性(Transparency)、完全性(Integrity)および識別性(Identity)だと言われています1。
裏を返すと、SBOMがない場合、透明性、完全性、および識別性に以下のような問題が生じるということです。
図表1はエンドユーザーから見たソフトウェアサプライチェーンのイメージ図です。SBOMが提供されていない場合、背景がグレーの領域に含まれるソフトウェア部品の情報を正確に把握することは困難です。
ここでは、上述した3つの問題について具体例を挙げ、SBOMによってどのような解決が可能か考察します。
オープンソースソフトウェア(OSS)は、ソースコードの改変や再配布、著作権表示等について定められたライセンスに準拠することで使用可能なソフトウェアです。ソフトウェア部品を使用している場合もそれぞれのライセンスに従う必要があります。しかし、ライセンス管理においても、脆弱性管理と同様、影響を受けるライセンスを抜け漏れなく特定するのは容易ではないという課題があります。ライセンスに違反した場合、利用組織はソフトウェアの販売差し止めや罰金の支払いに加え、レピュテーションの棄損など、大きな影響を受ける可能性があります。
ライセンス違反による起訴として、2010年に家電メーカーら14社が起訴された事例4や2013年にメディアプレイヤーメーカーが起訴された事例5があります。特に後者の判決では、ソフトウェアサプライヤーのコンプライアンス準拠に依存するのは過失であり、自組織の責任でサードパーティの権利を侵害していないことを確認する必要があることが明言されています。つまり、OSSをソフトウェア部品として利用するユーザーは、自組織の責任で適用されるライセンスを確認し準拠する必要があるということです。
SBOMデータにはライセンス情報を含めることが推奨されており、適用されるライセンスを抜け漏れなく把握することで、適切なライセンス管理が可能になることが期待されています。
2021年4月、コードカバレッジツール6を提供するCodecov社が顧客に提供しているツールBash Uploaderのスクリプトが改ざんされていたことが明らかになりました7。このツールは顧客のカバレッジデータをCodecov社に送信するツールですが、改ざんにより攻撃者にもデータが送信されるようになっていました。攻撃者はこのようにして窃取したデータを悪用し、日本企業を含む複数の顧客企業に対して不正アクセスを行っていました。
この攻撃は、ツールのハッシュ値をSBOMデータに含めることでユーザー側での改ざん検知が可能になると考えられます。実際に、Bash Uploaderの改ざんはCodecov社が提供するハッシュ値ベースの検証ツールを使用した顧客からの報告で発覚しました。SBOMはこのような検証をソフトウェアサプライチェーン全体で標準化するための仕組みだと言えます。
2014年9月、Linux系OSで広く利用されているシェルであるBashでリモートから任意のコード実行が可能になる脆弱性ShellShock(CVE-2014-6271およびCVE-2014-7169)が発見されました。この脆弱性は、Webサーバー上で動作するCGIプログラムやLinuxベースの組み込みシステムなど非常に広範囲にわたって影響を与えるものでした8。ShellShockは2014年に確認された古い脆弱性であるにもかかわらず、米国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁(CISA)が公開している「Known Exploited Vulnerabilities Catalog」9にも含まれています。
2021年12月には、広く利用されているJavaのログ記録ライブラリApache Log4jでリモートから任意のコード実行が可能になる脆弱性Log4Shell(CVE-2021-44228)10を悪用するエクスプロイト(攻撃コード)が公開されました。Log4Shellは、脆弱性情報が公開された直後からさまざまなマルウェア11や国家支援型サイバー攻撃グループによって悪用されていること12が報告されています。2022年3月時点でも悪用を示唆する報告13が続いています。
BashやLog4jのようにソフトウェア部品として利用されているソフトウェアの脆弱性対応には、本連載の第1回で解説したように影響有無の確認が困難という課題があります。しかし、SBOMデータには階層を掘り下げながらソフトウェア部品を特定する情報が含まれるため、脆弱性を持つソフトウェア部品の利用有無を網羅的に確認することができます。
ソフトウェアサプライチェーンリスクの中で組織への影響が大きいのは、やはりソフトウェアサプライチェーン攻撃です。SBOMはソフトウェアサプライチェーン攻撃への対策として話題に上がることが多いですが、一口にソフトウェアサプライチェーン攻撃と言っても侵害の対象はさまざまであり、SBOMが有効なものとそうでないものがあります。図表2はソフトウェアサプライチェーン攻撃における侵害の対象とSBOMの効果をまとめたものです。SBOMはある時点のスナップショットのようなデータであるため、侵害発生後に正規プロセスを通してSBOMが生成された場合、攻撃を検知することは困難であることが分かるでしょう。
ソフトウェアサプライチェーン攻撃対策としてSBOMを導入する際は、パッチ管理や脆弱性スキャンのような既存のセキュリティ対策を効率化あるいは強化するものであることを理解し、その効果と限界を把握した上で活用することが重要です。
本稿ではSBOMの欠如により発生する問題を透明性、完全性、および識別性の観点で分類し、それぞれ具体的な事例を挙げてSBOMによる解決策を解説しました。続いて、ソフトウェアサプライチェーン攻撃のタイプ別にSBOMの効果を整理しました。SBOMは決してソフトウェアサプライチェーン攻撃に対する万能薬ではありません。何ができて何ができないのかを正しく理解した上で導入することが重要です。また、SBOMは導入して終わりではなく、実際の業務で活用して初めてその価値を発揮するものです。本稿で取り上げた事例を参考に、ライセンス管理や脆弱性対応業務への適用を検討していただきたいと思います。
本連載の第1回および第2回ではSBOMに関する一般的なトピックについて解説しました。次回以降はPSIRT14やCSIRT15におけるSBOMの活用がテーマとなります。より具体的で実践的な内容になりますのでご期待ください。
1 Microsoft, 2021, 「Generating Software Bills of Materials (SBOMs) with SPDX at Microsoft」
https://devblogs.microsoft.com/engineering-at-microsoft/generating-software-bills-of-materials-sboms-with-spdx-at-microsoft/
2 情報処理推進機構(IPA), 2015, 「共通脆弱性識別子CVE概説」
https://www.ipa.go.jp/security/vuln/CVE.html
3 情報処理推進機構(IPA), 2018, 「共通プラットフォーム一覧CPE概説」
https://www.ipa.go.jp/security/vuln/CPE.html
4 Software Freedom Conservancy, 2010, 「Conservancy Receives Default Judgment For BusyBox GPL Enforcement」
https://sfconservancy.org/news/2010/aug/03/busybox-gpl/
5 Free Software Foundation Europe, 2013, 「FSFE compliance workshop discovers GPL violation by FANTEC, Welte wins in court」
https://fsfe.org/news/2013/news-20130626-01.en.html
6 ソースコードのテスト範囲を測定するツール
7 Codecov, 2021, 「Bash Uploader Security Update」
https://about.codecov.io/security-update/
8 日本シーサート協議会, 2014, 「GNU bashの脆弱性 ~shellshock問題~ について」
https://www.nca.gr.jp/2014/shellshock/index.html
9 Cybersecurity & Infrastructure Security Agency, 「KNOWN EXPLOITED VULNERABILITIES CATALOG」
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
10 JPCERT/CC, 2021, 「Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起」
https://www.jpcert.or.jp/at/2021/at210050.html
11 Bleeping Computer, 2021, 「Hackers start pushing malware in worldwide Log4Shell attacks」
https://www.bleepingcomputer.com/news/security/hackers-start-pushing-malware-in-worldwide-log4shell-attacks/
12 Mandiant, 2022, 「Does This Look Infected? A Summary of APT41 Targeting U.S. State Governments」
https://www.mandiant.com/resources/apt41-us-state-governments
13 Netlab 360, 2022, 「New Threat: B1txor20, A Linux Backdoor Using DNS Tunnel」
https://blog.netlab.360.com/b1txor20-use-of-dns-tunneling_en/
14 Product Security Incident Response Teamの略、製品の設計段階から出荷後までを対象に、インシデントなど問題発生時に対応するチーム
15 Computer Security Incident Response Teamの略、平時および有事におけるサイバーセキュリティの安全管理業務を担うチーム
欧州サイバーレジリエンス法(CRA)は、デジタル要素を含む製品のサイバーセキュリティを強化するための規則です。対象製品は規則に準拠していることを示すCEマークが必要となります。本稿では、製造業者が対応すべきCRAの法令要件の範囲やCEマーク利用のための適合性評価の流れを解説します。
サイバーセキュリティリスクが増している現状において、企業のセキュリティ対応の要となる組織の1つがCSIRTです。日本のCSIRTによく見られる課題や、CSIRTの成熟度評価、それを行うメリットを解説します。
PwCコンサルティング合同会社は2023年10月、日本国内の製品メーカーで働く580人を対象に、セキュリティ対策状況に関する調査を実施しました。本稿では調査結果を基に、日本の製品メーカーの製品セキュリティに対する意識・対応状況について解説します。
PwCコンサルティング合同会社は2022年5月、製品サイバーセキュリティを推進している企業を対象に、セキュリティ対策状況に関する調査を実施しました。本稿では調査結果を基に、製品サイバーセキュリティの現状と今後求められる製品サイバーセキュリティ施策について解説します。
山陰酸素工業株式会社、株式会社スペースシフト、PwCコンサルティング合同会社の3社は、衛星データを活用した地方創生およびGX推進をテーマに実証試験の活動を進めています。その取り組みや見えてきた課題について議論しました。
PwCは2024年10月から11月にかけて第28回世界CEO意識調査を実施しました。世界109カ国・地域の4,701名のCEO(うち日本は148名)から、世界経済の動向や、経営上のリスクとその対策などについての認識を聞いています。
災害発生後の被害状況の把握に人工衛星やセンサーのデータを活用する動きが進んでいます。人工衛星の活用を最大化するワンストップシステムの動向や、民間企業におけるデータ利活用も含めた災害情報の迅速な把握・共有に向けた課題などを議論しました。
経済安全保障分野におけるセキュリティ・クリアランス(適格性評価)制度が2025年5月17日までに施行される予定です。閣議決定された運用基準の概要について、企業において対応が必要となる内容を中心に解説します。