ソフトウェア・サプライチェーン

ソフトウェア・サプライチェーン（英語：Software Supply Chain）は、ソフトウェアの成果物を開発、構築、公開するために使用されるコンポーネント、ライブラリ、ツール、プロセスで構成される^[1]

ソフトウェア・ベンダーは、オープンソースや商用ソフトウェアのコンポーネントを組み合わせて製品を作成することが多い。ソフトウェア部品表^[2] (SBOM) は、ソフトウェアアプリケーションのようなソフトウェア成果物を構築するために使用されるコンポーネントの目録を公表する。^[3] アレルギー, を引き起こす可能性のある食品を避けるためにラベルを参照するように、SBOMは、組織または個人に害を及ぼす可能性のあるソフトウェアの使用を避けるのに役立てることができる。

BOMの概念は、サプライチェーン・マネジメントの一環として、従来の製造業で定着している。^[4] メーカーはBOMを使用して、製品を作るために使用する部品を追跡する。後から特定の部品に欠陥が見つかった場合、BOMを使えば、影響を受けた製品を簡単に見つけることができる。

SBOMは、ソフトウェア製品の構築者（製造者）と購入者（顧客）の両方にとって有用である。構築者は、製品を作成するために、利用可能なオープンソースやサードパーティのソフトウェアコンポーネントを活用することが多い。SBOMにより、構築者は、それらのコンポーネントが最新であることを確認し、新しい脆弱性に迅速に対応することができる。^[5] 購入者は、SBOMを利用して脆弱性や利用許諾の分析を行うことができ、どちらも製品のリスク評価に使える。

多くの企業が一般的な部品表管理にスプレッドシートを使用しているが、スプレッドシートに書き込まれたSBOMにはさらなるリスクと問題がある。SBOMは、他のオートメーションシステムの一部となり、他のアプリケーションから簡単に照会できるリポジトリにまとめて保存されると、より大きな価値を得る。自動化されたSBOM処理のためのこのニーズは、Software Package Data Exchange (SPDX) オープンスタンダードにより処理される。

ソフトウェアのサプライチェーンを理解し、SBOMを入手し、これを用いて既知の脆弱性を分析することは、リスクマネージメントにおいて極めて重要である。^[6]^[7]^[8]

法令

2014年のサイバー・サプライ・チェーン管理および透明性法^[9] は、政府機関が新たに購入するすべての製品についてSBOMの取得を義務付けることを提案した米国の法律である。また、「米国政府によって使用されているあらゆるソフトウェア、ファームウェア、製品」についてもSBOMの取得を義務付けるものであった。最終的には通過しなかったが、この法律は政府に認識をもたらし、2017年のIoTサイバーセキュリティ改善法のような後の法律に拍車をかけた。^[10]^[11]

2021年5月12日の米国サイバーセキュリティ改善に関する大統領令^[12]は、NISTに対し、”ソフトウェアのサプライチェーンのセキュリティを強化する”ために、”購入者に各製品のソフトウェア部品表（SBOM）を提供する”など、いくつかのテーマについて「基準、手順、または基準を含む」ガイダンスを90日以内に発行するよう命じた。また、NTIA が60日以内に "SBOMの最小要素を公表する "ことも義務付けた。

NTIAの最小要素は2021年7月12日に公表され^[13]、"ソフトウェアのサプライチェーンにおける透明性を高めるためのSBOMの使用事例を説明するとともに、将来の進化のための選択肢を示している"。最小要素は、データフィールド（各ソフトウェアコンポーネントに関するベースライン情報）、自動化サポート（機械および人間が読み取り可能な形式でSBOMを生成する能力）、およびプラクティスとプロセス（組織がSBOMを生成する方法とタイミング）の3つの大まかなカテゴリで構成されている。”自動化サポート”要件は、”自動生成”の必要性を規定しており、これはソフトウェア構成分析 (SCA) ソリューションを使用することで可能となる。^[14]

表話編歴脆弱性、攻撃手法、エクスプロイトと対策
インジェクション (CWE-74)・入力検証不備	不適切な入力確認 (CWE-20) OSコマンドインジェクション (CWE-78) クロスサイトスクリプティング (XSS) (CWE-79) SQLインジェクション (CWE-89) LDAPインジェクション (CWE-90) コードインジェクション (CWE-94) HTTPヘッダ・インジェクション (CWE-113) HTTPレスポンススプリッティング（英語版） (CWE-113) 書式文字列攻撃 (CWE-134) XML外部実体攻撃 (XXE) (CWE-611) Insecure Deserialization（英語版）(CWE-502) ファイルインクルード脆弱性（英語版） Mass Assignment脆弱性（英語版）プロンプトインジェクション
Web・ブラウザ・クライアント関連	ディレクトリトラバーサル (CWE-22) クロスサイトリクエストフォージェリ (CSRF) (CWE-352) Webキャッシュポイゾニング (CWE-444) サーバサイド・リクエストフォージェリ (SSRF) (CWE-918) IDNホモグラフ攻撃 (CWE-1007) クリックジャッキング (CWE-1021) クロスサイトトレーシング (XST) DNSリバインディングクロスサイト・クッキングリファラスプーフィング（英語版） (CWE-601) クロスゾーンスクリプティング（英語版）
認証・セッション・なりすまし	セッションハイジャック (CWE-287) IPスプーフィング (CWE-290) クレデンシャル・スタッフィング (CWE-307) DNSスプーフィング (CWE-345) セッションフィクセーション (CWE-384) パス・ザ・ハッシュ攻撃 (CWE-522) ファーミング (CAPEC-89) フィッシング (詐欺) (CAPEC-98) リプレイ攻撃中間者攻撃 (MITM) ARPスプーフィング MITB攻撃悪魔の双子攻撃セッションポイズニング（英語版） Kerberoasting（英語版）クッキーモンスター攻撃（英語版）クッキースタッフィング（英語版） in-sessionフィッシング（英語版） Eメールスプーフィング（英語版） MOTS攻撃（英語版）
システム・メモリ・並行処理	バッファオーバーフロー (CWE-119) スタックバッファオーバーフロー（英語版） Off-by-oneエラー (CWE-193) Return-to-libc攻撃競合状態 (Race Condition) (CWE-362) Time-of-check to time-of-use (TOCTOU) (CWE-367) TCPシーケンス番号予測攻撃 JITスプレー Spectre Use After Free（英語版）ダングリングポインタ（英語版）
暗号・サイドチャネル・ハードウェア	サイドチャネル攻撃 (CWE-203) 平文保存(CWE-312) 危殆化 (CWE-327) POODLE(CWE-757) KRACK(CWE-757) 誕生日攻撃 Meltdown CRIME Intel ME（英語版） Lazy FP state restore（英語版） TLBleed（英語版）スナーフィング（英語版）コールドブート攻撃（英語版）
可用性侵害 (DoS攻撃)	DoS攻撃 (CWE-400) ICMP echoフラッド Smurf攻撃 SYN flood UDPフラッド攻撃 HTTP Flood スローロリス_(DOS攻撃ツール) ZIP爆弾 (CWE-409) Billion laughs攻撃 (XML爆弾) (CWE-776) メールボムクリアチャネル評価攻撃（英語版）
対策・防御技術	ファイアウォール(FW) Web Application Firewall (WAF) 侵入検知システム (IDS) 侵入防止システム (IPS) Static application security testing（英語版）(SAST) Dynamic application security testing（英語版）(DAST) Endpoint Detection and Response (EDR) Endpoint Protection Platform（EPP） Network detection and response（英語版）(NDR) User and Entity Behavior Analytics（UEBA） Security information and event management (SIEM) Security Orchestration, Automation and Response (SOAR) Cloud access security broker (CASB) FIDO (認証技術) 多要素認証 (MFA) Privileged access management（英語版）(PAM) Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) Outbound Port 25 Blocking（OP25B） DMARC Wi-Fi Protected Access イミュータブルバックアップコンテンツスニッフィングセキュリティ・バイ・デザイン (SBD) ソフトウェア・サプライチェーンゼロトラスト・セキュリティモデル
関連項目・ツール	マルウェアセキュリティホールクラッキング脆弱性情報データベースブラウザクラッシャーシェルコード Metasploit OWASP Sshnuke 脆弱性情報データベース (CVE/JVN) 脆弱性報奨金制度 Nikto Web Scanner（英語版） w3af（英語版）隠れ通信路（英語版）

ソフトウェア・サプライチェーン

法令

関連項目

脚注

Related Articles