さまざまなサイバー攻撃が猛威を振るう中でも、現在大きな注目を集めているのが、ソフトウェアサプライチェーンの脆弱性を狙った攻撃だ。
2020年には米国のIT企業がリリースしたIT管理ソフトのアップデートが改ざんされ、マルウェアが配布されたことで、同社製品を導入した政府機関や大手製造業、IT/セキュリティベンダーなどが被害を受け、史上最大級の事例となったことは記憶に新しい。
パロアルトネットワークス 提供資料
クラウド時代におけるソフトウェアサプライチェーン攻撃の深刻な脅威と、効果的な防御方法を知る
> > 資料ダウンロードはこちら
ソフトウェアサプライチェーン攻撃が新たなステージへ
この事例において着目すべきは、問題の発端となったIT管理ソフトのソースコードは直接攻撃されていなかったという点だ。
これはつまり、一連の開発プロセスのどこかで膨大な数のマルウェアが仕込まれたことを意味し、ソフトウェアサプライチェーンが、無数の設定ミスや未設定、脆弱性を内包するクラウドやオープンソースへの依存度を高めていることに、問題の本質があると指摘する声もある。
こうして、ソフトウェアサプライチェーン攻撃が新たなステージに入る中、組織はどうやってその身を守るべきなのか。
* * *
本コンテンツでは、近年その被害の深刻度を増すソフトウェアサプライチェーン攻撃について、実際の被害事例を交えながら、その原因としてクラウドやオープンソースの浸透を挙げている。
併せて、クラウドネイティブ化が進むソフトウェアサプライチェーンのセキュリティを確保するためには、開発のコード&ビルド、デプロイ、ランタイムという3つの局面での防御を徹底すべきであると提起し、それを実践するためのソリューションとして、「ソフトウェア構成管理(SCA)」の導入を推奨している。さらに、SCAを含み、インフラと連携した脆弱性管理を可能にする統合型セキュリティ製品についても紹介しているので、ぜひ参考にしてほしい。
ダウンロード資料のご案内
パロアルトネットワークス 提供資料
クラウド時代におけるソフトウェアサプライチェーン攻撃の深刻な脅威と、効果的な防御方法を知る
> > 資料ダウンロードはこちら
[PR]提供:パロアルトネットワークス