ソフトウェアサプライチェーンリスクの顕在化事例とSBOMによる解決

2022-04-20

はじめに

本稿はSBOMが求められている背景と期待される効果および活用事例について解説する連載の第2回です。第1回では上流で発生した事象が下流全体に影響を及ぼすというソフトウェアサプライチェーンの構造的な課題と、その解決策としてソフトウェア部品表(SBOM:Software Bill of Material、「エスボム」と発音)の普及が本格化していることを解説しました。第2回の今回はソフトウェアサプライチェーンリスクが顕在化した主な事例を取り上げ、SBOMによってどのような解決が可能か考察します。

おわりに

本稿ではSBOMの欠如により発生する問題を透明性、完全性、および識別性の観点で分類し、それぞれ具体的な事例を挙げてSBOMによる解決策を解説しました。続いて、ソフトウェアサプライチェーン攻撃のタイプ別にSBOMの効果を整理しました。SBOMは決してソフトウェアサプライチェーン攻撃に対する万能薬ではありません。何ができて何ができないのかを正しく理解した上で導入することが重要です。また、SBOMは導入して終わりではなく、実際の業務で活用して初めてその価値を発揮するものです。本稿で取り上げた事例を参考に、ライセンス管理や脆弱性対応業務への適用を検討していただきたいと思います。

本連載の第1回および第2回ではSBOMに関する一般的なトピックについて解説しました。次回以降はPSIRT14やCSIRT15におけるSBOMの活用がテーマとなります。より具体的で実践的な内容になりますのでご期待ください。

1 Microsoft, 2021, 「Generating Software Bills of Materials (SBOMs) with SPDX at Microsoft」
https://devblogs.microsoft.com/engineering-at-microsoft/generating-software-bills-of-materials-sboms-with-spdx-at-microsoft/

2 情報処理推進機構(IPA), 2015, 「共通脆弱性識別子CVE概説」
https://www.ipa.go.jp/security/vuln/CVE.html

3 情報処理推進機構(IPA), 2018, 「共通プラットフォーム一覧CPE概説」
https://www.ipa.go.jp/security/vuln/CPE.html

4 Software Freedom Conservancy, 2010, 「Conservancy Receives Default Judgment For BusyBox GPL Enforcement」
https://sfconservancy.org/news/2010/aug/03/busybox-gpl/

5 Free Software Foundation Europe, 2013, 「FSFE compliance workshop discovers GPL violation by FANTEC, Welte wins in court」
https://fsfe.org/news/2013/news-20130626-01.en.html

6 ソースコードのテスト範囲を測定するツール

7 Codecov, 2021, 「Bash Uploader Security Update」
https://about.codecov.io/security-update/

8 日本シーサート協議会, 2014, 「GNU bashの脆弱性 ~shellshock問題~ について」
https://www.nca.gr.jp/2014/shellshock/index.html

9 Cybersecurity & Infrastructure Security Agency, 「KNOWN EXPLOITED VULNERABILITIES CATALOG」
https://www.cisa.gov/known-exploited-vulnerabilities-catalog

10 JPCERT/CC, 2021, 「Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起」
https://www.jpcert.or.jp/at/2021/at210050.html

11 Bleeping Computer, 2021, 「Hackers start pushing malware in worldwide Log4Shell attacks」
https://www.bleepingcomputer.com/news/security/hackers-start-pushing-malware-in-worldwide-log4shell-attacks/

12 Mandiant, 2022, 「Does This Look Infected? A Summary of APT41 Targeting U.S. State Governments」
https://www.mandiant.com/resources/apt41-us-state-governments

13 Netlab 360, 2022, 「New Threat: B1txor20, A Linux Backdoor Using DNS Tunnel」
https://blog.netlab.360.com/b1txor20-use-of-dns-tunneling_en/

14 Product Security Incident Response Teamの略、製品の設計段階から出荷後までを対象に、インシデントなど問題発生時に対応するチーム

15 Computer Security Incident Response Teamの略、平時および有事におけるサイバーセキュリティの安全管理業務を担うチーム

執筆者

丸山 満彦

パートナー, PwCコンサルティング合同会社

Email

上杉 謙二

ディレクター, PwCコンサルティング合同会社

Email

村上 純一

パートナー, PwCコンサルティング合同会社

Email

脆弱性管理の実効力を高めるSBOM

10 results
Loading...

欧州サイバーレジリエンス法~製造業が今すぐに取るべき対策~

欧州サイバーレジリエンス法(CRA)は、デジタル要素を含む製品のサイバーセキュリティを強化するための規則です。対象製品は規則に準拠していることを示すCEマークが必要となります。本稿では、製造業者が対応すべきCRAの法令要件の範囲やCEマーク利用のための適合性評価の流れを解説します。

製品サイバーセキュリティ実態調査~サプライチェーン上流と下流で異なる課題:企業を跨いだ業界全体でのPSIRT活動が重要

PwCコンサルティング合同会社は2022年5月、製品サイバーセキュリティを推進している企業を対象に、セキュリティ対策状況に関する調査を実施しました。本稿では調査結果を基に、製品サイバーセキュリティの現状と今後求められる製品サイバーセキュリティ施策について解説します。

Loading...

インサイト/ニュース

20 results
Loading...
Loading...