The Hacker Newsは1月4日(現地時間)、「Three Ways To Supercharge Your Software Supply Chain Security」において、ソフトウェアサプライチェーンのセキュリティを強化する3つのヒントを紹介した。これは2021年5月に公開された大統領令「Executive Order on Improving the Nation's Cybersecurity | The White House」の第4節において紹介された「ソフトウェアサプライチェーン」とそのセキュリティ確保という概念に相当する。
ソフトウェアサプライチェーンを守る3つの対策
ヒント1:秘密は秘密のままにする
2023年に発生した大規模なサイバーセキュリティ事案の一部では、平文で公開された機密情報が脅威アクタに発見されたことで発生した。Sourcegraphの事案では、コードに埋め込まれたアクセストークンをパプリックインスタンスに公開して秘密が漏洩。Sourcegraph APIへの自由なアクセスを許すことになった。Microsoftの事案では、Microsoft社内のデバッグ環境のクラッシュダンプからメールの認証情報を作成する署名キーが漏洩した。これらを防止するために、コードに機密情報を埋め込まないように注意し、これを検出するツールの活用とコードレビューの実施が重要。
ヒント2:ソフトウェアコンポジション分析(SCA: Software Composition Analysis)を使用して部品表(BOM: Bills Of Materials)を作成する
サイバーセキュリティ規則とベストプラクティスの双方で、ソフトウェアを構成するすべての要素の出所を示すソフトウェア部品表の考えが採用されている。しかしながら、ソフトウェアの部品表を作成することは簡単ではない。NPMやPyPIなどのパッケージリポジトリやオープンソースフレームワークなどを使用した場合、依存関係を追跡してすべてのソフトウェア一覧を作成する必要がある。こうしたツールを使用することで、すべての依存関係にあるソフトウェアコンポーネントを識別できる。
ヒント3: 自分自身をハックする
責任ある合法的な方法でシステムまたはネットワークの脆弱性を特定する。そのためにホワイトハッカーの技術力を利用する。悪意のある人物に脆弱性を悪用される前にホワイトハッカーにそれらを発見してもらうことで、利用者への謝罪や当局への報告を回避できる。報奨金プログラムもこの対策に含まれる。
The Hacker Newsはこれらヒントを活用し、ソフトウェアサプライチェーンを強化することでインシデント対応の時間を削減し、収益の増加につながると指摘している。また、さらにセキュリティ強化を目指す場合、Googleが提唱するセキュリティフレームワーク「SLSA • Supply-chain Levels for Software Artifacts」を活用することで改ざんの防止、完全性の向上などが望めるとアドバイスしている。
