セキュリティの面で「クラウドを無条件に安全であると考えるのは誤解」だと指摘するのは、日本クラウドセキュリティアライアンス クラウドセキュリティWGリーダーの釜山公徳氏だ。その理由は、オンプレミスに比べてシステムの可視性が低い、つまりハードウエアやネットワーク構成の詳細が把握しにくいためである。したがってクラウドは適材適所で利用することとし、クラウドであっても事業者任せにせず、サプライチェーンリスクも考慮に入れたセキュリティ対策を講じることが必要なのだと説く。

7月23日~24日に開催された「TECH+フォーラム - クラウドインフラ 2024 Jul. 理想の環境にアップデートする」に同氏が登壇。サイバーレジリエンスの考え方を基に、サプライチェーンにはどのような脅威があり、どう対応すべきかを解説した。

サイバーレジリエンスとは

講演冒頭で釜山氏は、サイバーレジリエンスとは、サイバー資源を有するシステムが攻撃などによって困難な状況になった場合、またはその前に、攻撃や侵害を予測し、耐え、回復し、適応できる能力のことであると述べ、単純な回復や復旧の力ではないと強調した。

サイバーレジリエンスには前述のように予測、耐性、回復、適応の4つの目的が定義されている。いつ来るか分からない逆境状態に備えた態勢を準備して維持するのが予測だ。耐性は、逆境に耐えるだけでなく事業を継続することが重要である。回復はその後の組織におけるミッションやビジネス機能を回復することで、いかに早く復旧するかがポイントになる。そして適応は、予測に基づいてミッションやビジネス機能を改善していくことだが、これは繰り返し行うことが重要だという。

  • サイバーレジリエンスの考え方

サプライチェーンリスクは必ず発生すると考えるべき

サプライチェーンは大まかにハードウエアとソフトウエアの2つがあり、サイバーセキュリティにおいてはソフトウエアを指すことが多いが、それにもCPUの脆弱性などハードウエアが関わる場合がある。またクラウドにおいても、IaaS、PaaS、SaaSといったサービスモデルの抽象度に関わらず、サプライチェーンのセキュリティを考慮しなければならない。クラウドだからといって業者任せにするわけにはいかないことを頭に入れておく必要があるのだ。また、ソフトウエアは孤立して開発されることはない。そのため、サプライチェーン内のどこかに脆弱性が発生する可能性があると考えるべきである。

「可能性があるというより、必ず発生すると考えるべきです」(釜山氏)

サプライチェーンリスクとは、敵対者が供給品目やシステムにおける能力を低下させるリスクのことだ。例えば開発、生産、配布などの各段階では、設計の妨害やプロダクトの改ざんによる完全性の妨害、運用や保守に対する妨害などがある。また、プロダクトの中に不正サイトへの通信機能を埋め込むなど悪意を持って不要な機能を混入したり、プロダクトを破壊したりといったことのほか、システムの運用監視を中断させることで不正をしやすくすることもある。さらにサードパーティリスクもある。購入したソフトウエアやフリーソフトのように外部から導入したものや、クラウド事業者のネイティブ以外のサービスなどに脅威が潜んでいる可能性もあるのだ。

サプライヤーも含め、全体の評価と監視を継続して行う

こうしたソフトウエアの脆弱性管理に活用できるのが「Software Bill of Materials(SBOM、ソフトウエア部品票)」だ。プロダクトの中のライブラリーやコンポーネントを依存関係も含めて把握でき、サプライチェーンにおける脆弱性や脅威を可視化できる。コンポーネントの情報に含まれているバージョン情報は脆弱性管理に役立つし、ハッシュ値によって改ざんの有無も確認できる。ただし大きなソフトウエアではコンポーネント数も膨大になるため、全てをリアルタイムに監視するのが難しくなる点には注意が必要だ。

サイバーサプライチェーンリスクマネジメント(C-SCRM)のベストプラクティスとしては、C-SCRMを組織全体に統合することや、公式なC-SCRMプログラムを確立することなどが挙げられているが、その中でも重要なのが、レジリエンスと改善活動に主要サプライヤーを含めること、そしてサプライヤー関係全体の評価と監視を継続的に行うことである。

「主要サプライヤーを含めた上で、継続的かつ繰り返して改善活動を行うことが重要です」(釜山氏)

とくに注意すべきなのはランサムウエアとサプライチェーン攻撃

情報処理推進機構(IPA)が公開する「情報セキュリティ10大脅威 2024」によれば、組織向けの脅威でとくに注意すべきなのがランサムウエアによる被害とサプライチェーンの弱点を悪用した攻撃の2つだ。ランサムウエアについては、非暗号化のものも含め、さまざまなタイプがあるが、簡単に被害を与えられる暗号化タイプが現在の主流だという。また、標標的型サイバー攻撃において攻撃ツールの1つとしてランサムウエアが使われるケースもあるそうだ。

  • 情報セキュリティ10大脅威 2024

近年のランサムウエアの例としては、VMwareを狙ったCheerscrypt Ransomwareがある。これは二重恐喝という手法で、通常のランサムウエアのようにデータを暗号化して金銭を要求するだけでなく、データをリークサイトにアップロードし、ばらまかれたくなかったら金を払えと要求する。このCheerscrypt Ransomwareが仮想化ハイパーバイザーであるVMware ESXiを攻撃する場合は、まずESXCLIというコマンドラインツールを実行して起動中のVMプロセス、ゲストOSを停止させ、それから対象ファイルを暗号化する。暗号化の対象はログファイル、仮想ディスクファイル、ページファイルなどあらゆるファイルであるため、暗号化されるとゲストOSは動かなくなってしまうのだ。

国内でも被害が報告されているBlackSuit Ransomwareは同じく二重恐喝のタイプで、ターゲットは特定業界ではなくヘルスケアや教育、政府など多様なところに攻撃を仕掛けている。こちらは有名なランサムウエアのRoyalやContiとのつながりも推測できるため、今後の脅威として注意しておかなければならない。

一方、サプライチェーン攻撃には3種類がある。ソフトウエアサプライチェーンの中に不正なものを混入したり破壊したりするソフトウエアサプライチェーン攻撃、MSP(マネージドサービスプロバイダ)などのサービス事業者をターゲットにしてそのサービスを停止させるサービスサプライチェーン攻撃、そして標的組織の子会社や関連組織のつながりを利用して攻撃するビジネスサプライチェーン攻撃だ。

例えばソフトウエアサプライチェーン攻撃なら、セキュリティの比較的甘い開発初期に正当なソフトウエアに忍び込んで、一般にリリースされてから初めてその攻撃に気付くような例もある。そのような点からも、コンポーネントが正当であることを確認するために、SBOMの活用が重要になるのだ。

生成AIの時代が到来した今では、LLMにおいてもセキュリティの課題がある。例えばLLMの訓練データに影響を与えれば、政治的なバイアスのある回答や企業の不利益につながる回答を導くことにもなる。ソフトウエアのコンポーネントだけではなく、サプライヤーについても慎重に審査し、信頼できるものだけを使用することが重要だと釜山氏は話した。

フレームワークを活用して、サイバーレジリエンスを向上

サイバーレジリエンス向上のための実践方法を提供するものとして、「Cyber Resiliency Engineering Framework (CREF)」というフレームワークがあり、CREF NavigatorというWebブラウザで動作するGUIツールで、視覚化された状態で利用できる。このツールの活用例として、必要事項を選択し、Inspectorページが開き、データ破壊の詳細について記載があるMITRE ATT&CKの該当ページを確認するといったことが可能だ。

データセキュリティのレビューに役立つのが、AWSやAzureで公開されている「Well-Architected Framework」だ。データ分類、保管中のデータ保護、伝送中のデータ保護に関する有意義なクラウドにおける成功が含まれており、データ保護に関するレビューが可能になる。日本クラウドセキュリティアライアンスでは、これをさらに深く掘り下げて内容を追加した「AWS 現場で役立つセキュア・アーキテクティング・レビューのポイント ―Well-Architected Framework」を公開しているので、参考にすると良いだろう。

講演の最後に釜山氏は「いつもセキュリティを考えていただきたい」と語り、改めて注意喚起を行った。