SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

【レポート】安全なソフトウェアサプライチェーンの実現【前編】

イベントレポート
2022.06.24

こんにちは、SB C&Sの佐藤です。

5/18に「コンテナイメージスキャンは開発時に!~ シフトレフトでスピードとセキュリティを両立する方法とは?~」と題して、「SB C&S × Palo Alto × JFrog」の3社でウェブセミナーを共同開催しました。

本記事では前編として、弊社JFrogから登壇いたしました三宅様のパート「安全なソフトウェアサプライチェーンの実現」についてから、以下の内容をレポートさせて頂きます。
 ・ソフトウェアサプライチェーンとは何か
 ・ソフトウェアサプライチェーンに対する攻撃とは

※各社の製品紹介は以下リンク先をご覧ください。

セミナー情報

登壇者

  • SB C&S株式会社 竹石 渡
  • JFrog Japan株式会社 三宅 剛史 氏
  • Palo Alto Networks株式会社 CTO アジェイ ミスラ 氏

概要

昨今、コンテナの開発初期段階からセキュリティを組み込んで手戻りの発生を防ぎスピードとセキュリティを両立させる『シフトレフト』が注目されています。
本ウェビナーではDevOpsやDevSecOpsプラットフォームを提供する「JFrog」とサイバーセキュリティの雄「Palo Alto Networks」の製品を組み合わせて実現するシフトレフトについて両社製品を連携させたデモを交えてご紹介いたします。

アジェンダ

  1. シフトレフトを実現するJFrogとPrisma Cloudの素敵な組み合わせ(SB C&S株式会社 竹石 渡)
  2. 安全なソフトウェアサプライチェーンの実現(JFrog Japan株式会社 三宅 剛史 氏)←本記事のレポート対象
  3. 近代のCloud Native環境に適するCI/CD Pipelineのあり方(Palo Alto Networks株式会社 CTO アジェイ ミスラ 氏)
  4. 両社連携デモ(JFrog Japan株式会社 三宅 剛史 氏、Palo Alto Networks株式会社 CTO アジェイ ミスラ 氏)

レポート「シフトレフトを実現するJFrogとPrisma Cloudの素敵な組み合わせ」

■ソフトウェアサプライチェーンと依存関係について

サプライチェーンとは、製造業において「資源が消費され、プロセスを経て変換し、製品やサービスとして顧客に提供される」という流れです。
この流れを具体的に「家」で例えると
 ・資源=設計図、各部材(キッチン、ユニットバス)
 ・プロセス=施工
となり、ソースコードで例えると、
 ・資源=ソースコード、依存関係
 ・プロセス=ビルド
となります。つまり、家における「設計図」は「ソースコード」であり、「部材」は「依存関係」に当てはまります。

JFrog_0.png

「設計図」の重要さはさることながら、家を建てるにあたり「部材」も重要な存在である。建築会社は基本的に部材を外部調達するが、その際にいい加減な作りや信頼のおけない会社が製造しているものは使用しません。
ソフトウェアであっても同じように、「ソースコード」だけではなく「依存関係」も重要な存在であり、依存関係に欠陥があれば、それは完成したソフトウェアの欠陥に繋がります。

■ソフトウェアサプライチェーンの攻撃手法

Git等のVCSを使用したソースコード管理、CICDによるビルド管理は行われていても、依存関係の管理についてはこれといった対策を行っていない組織が多いのが現状です。そのためこの部分が攻撃対象なり、ソフトウェアサプライチェーン攻撃が発生します。
「ソフトウェアサプライチェーンは別の多くのソフトウェアサプライチェーンから成り立つ」、つまり依存関係自体も、別の依存関係によって作られているということである。よって意識していないところで自分たちの管理外のソースコードを使用することになり、そのすべてにソフトウェアサプライチェーン攻撃のリスクが存在するということです。

JFrog_3.png
具体的な手法としては、悪意のあるコンポーネントを組み込ませるような攻撃が主戦場になっています。このような攻撃はハッキングのような攻撃に比べ、必要な技術が低く、少ない労力で行うことが出来ることが特徴です。
 例)有名なソフトウェアの名称を1文字変えたマルウェアを作成し、ユーザにダウンロードさせ使わせる
通常のハッキンは高度な知識を必要とし、基本は1つのシステム・1人のユーザが対象であるためスケーラブルではありませんが、有名なコンポーネントであれば数百数千のシステムで使用されているため、拡散性の高いスケーラブルな攻撃になってしまいます。
また、企業が作成したコンポーネントが改ざんされた場合、使用者も疑わずに利用してしまうため、対象となりやすいのも特徴です。Log4jやSolarWindsがその実例です。

JFrog_4.png

攻撃パターンとしては、以下の3点です。 ※括弧内は実例
 ①意図しないバグがセキュリティの問題になってしまう(Log4j)
 ②意図的なバックドア(SolarWinds ※注1)
 ③CVE(※注2)が未付与、もしくは付与される可能性が低い悪意のあるコンポーネントをパブリックリポジトリに配置
 ※注1:ソフトウェアサプライチェーン攻撃の良い例であり、米大統領令のきっかけになった
 ※注2:米政府私怨により非営利団体のMITRE社が採番している共通脆弱性識別子

■まとめ、感想

前編では「ソフトウェアサプライチェーンとは何か」と「ソフトウェアサプライチェーンに対する攻撃とは」という内容をレポートさせて頂きました。三宅様のセッションを通じ、ソフトウェアサプライチェーンに対する攻撃が、いかに開発者の意識の外からやって来る脅威であることかがとても良く理解出来ました。
またアメリカでは、2021年5月に「サイバーセキュリティに関する大統領令」にバイデン大統領が署名しました。この大統領令は「ソフトウェアサプライチェーン」に対して明言されたものであり、その事実からもソフトウェアを狙ったサプライチェーン攻撃が猛威を振るっており、このまま対策を取らなければ、今後は更に被害が拡大することが予見されます。
後編ではこのような脅威に対し、JFrogがどのような対策を行っているかについて、
 ・キュレーション
 ・脆弱性チェック
 ・署名付きパイプライン
という3点を軸に解説された内容をレポートさせて頂きます。是非、こちらも併せてご覧ください。

また、今後JFrogやPrisma Cloudの導入を検討されることがございましたら、お気軽にゼロトラストオンライン相談フォームまでお問い合わせくださいませ。

ゼロトラストオンライン相談フォーム
お問い合わせ先:SBCASGRP-cloudsec@g.softbank.co.jp

本セミナーの動画をご覧になられたい場合は、以下の「続きをご覧になる場合は下記をご記入ください。」にて情報をご入力ください。

続きをご覧になる場合は下記をご記入ください。

EV_袋とじ_技術ブログ
職種必須
入力例:foo@example.com
入力例:0312345678
SB C&Sとのご関係必須
個人情報保護方針必須
■SB C&S(株) は、お客さまの個人情報 (氏名、住所、電話番号、メールアドレスなど) を、個人情報保護法、および、当社プライバシーポリシーに従い適切に取り扱います。 <https://cas.softbank.jp/privacy/> 詳細な個人情報の利用目的は、以下に定めるとおりとし、これらに関連する目的を含むものとします。 (ただし法令により例外として扱うことを認められている場合を除きます。) 1. IT流通サービスの提供 ・お取引にかかわる当社のシステムの機能提供のため ・お取引にかかわるお見積もり、受発注、物品・サービス・役務等の提供を行うため 2. 会員サービスおよび対象サービスの提供 ・会員サービスおよび対象サービスを提供するため ・会員サービスおよび対象サービスに関連して、お客さまに商品の発送、サービス、コンテンツ、インセンティブおよび情報を提供するため 3. 広告・宣伝・マーケティング お客さまの同意に基づき、または法令で許容されている範囲および手段で、当社または他社の商品やサービス、キャンペーンやセミナーなどのダイレクトメール、メールマガジンなどの広告を、お客さまに送付または表示するため 4. サービスの改善および研究開発 既存サービスの改善および新サービスにかかわる当社による研究開発のため 5. お問い合わせ等への適切な対応 サービスまたは広告等にかかわるお客さまからのお問い合わせやクレームに、当社が適切に対応するため 6. 不正行為等の防止・対応 詐欺、サイバー攻撃、その他の違法または不正なおそれのある行為を防止、調査、および特定して、当社または第三者の権利利益を保護するため なお、上記以外の目的で当該個人情報を利用させていただく場合は、その都度、その利用目的を明確にし、お客さまから事前の同意をいただきます。 ■お預かりしたお客さま情報はお客さまご本人から、当社の運営上支障が無い範囲で閲覧、修正、削除を要求することができます。 その場合はお問い合わせ先までご連絡いただけますようお願いいたします。  ・メールアドレス : SBBGRP-ENGINEER-VOICE@g.softbank.co.jp