2022 年 12 月、米国サイバー セキュリティ社会基盤安全保障庁 (CISA) は、サイバー犯罪者にとって最も一般的な初期攻撃ベクトルは、脆弱な公開アプリケーションに対するエクスプロイトであり、次いで VPN などの外部リモート サービスに対する攻撃であると特定しました。CrowdStrike の調査によると、クラウド アプリと資産を標的とするエクスプロイト活動は 2021 年から 2022 年にかけて 95% 増加し、クラウド アプリを直接標的とする脅威アクターはこの期間中に 288% もの爆発的な増加を記録しました。
ソフトウェア サプライ チェーンに組み込まれた堅牢なセキュリティ対策の重要性は、どれだけ強調してもしすぎることはありません。最近のソフトウェア開発、特にオープンソースやサードパーティ コードの使用の急増により、多数の脆弱性が見つかっており、放置すると経済的損失、さらには事業継続性の喪失につながる可能性があります。
これらの脆弱性が悪用される前に軽減するには、リスク軽減や信頼強化から業務効率や収益性の向上に至るまで、無数のメリットをもたらす事前対応型のアプローチが必要です。
DarkReading の State of Vulnerability Management Report (脆弱性管理状況レポート) によると、膨大な数の攻撃が多くの IT 部門を圧倒しており、レポートに挙げられている組織の 28% が毎月 100 以上の脆弱性を発見していると主張しています。これらの脆弱性はリスクを伴うにもかかわらず、多くの企業は効果的に対処する準備ができていないようで、検出された脆弱性の 75% 以上を解決する能力があると回答した企業は回答者のわずか 18% でした。
非常に多くの脆弱性が検出され、修復が行われていないため、多くの DevSecOps チームではリスクが増大するだけでなく、過去に蓄積された脅威に新たな脅威が加わることでセキュリティ上の負債が大きくなっています。こうした不穏な傾向に対抗するため、セキュリティ チームと DevOps チームは、防止戦略の策定に着手し、脆弱性が発生する前に積極的に防御する必要があります。
脆弱性防止戦略の主なメリット
効果的な脆弱性防止戦略は、セキュリティ、運用、経済的なメリットをもたらします。
- リスク軽減 – 悪用される前に脆弱性を特定して対処することで防御を強化し、サプライ チェーンに侵入するセキュリティの脅威を大幅に軽減します。侵害の可能性を最小限に抑えることで、ソフトウェア開発ライフサイクル (SDLC) の脆弱性を軽減できます。
- 規制順守 – プロアクティブな対策は、厳しいセキュリティ基準を満たすのに役立つだけでなく、詳細なレポートとともに、順守データを提供するために不可欠です。規制の枠組みに従うことは、罰則を回避し、信頼を高め、法的紛争を回避するのに役立ちます。
- レピュテーションの向上 – プロアクティブなセキュリティを実装すると、顧客や利害関係者の信頼が醸成され、データ保護に対する信頼が浸透します。これにより、組織の信頼性が高まり、レピュテーションが向上します。
- コスト効率 – プロアクティブなセキュリティにより、高額な費用がかかる侵害を防止し、ダウンタイムと法的責任を最小限に抑えることができます。脆弱性の特定と防止への投資は、将来的に高額な費用を支払うよりも費用対効果に優れています。
プロアクティブな脆弱性防止を実装する方法
自動的にアラームやアラートが通知される現代のデジタル社会では、インシデントが起こってから対応することに慣れています。携帯電話のデータ使用量が契約プランをオーバーしても問題にならないかもしれませんが、セキュリティに関しては潜在的なリスクが大きすぎるため、積極的なアプローチが求められます。
防止モードへの移行は企業文化の転換を必要とするため、容易いことではありません。コーディング段階からアプリケーション配布後に至るまで、プロアクティブな方法とリアクティブな方法の両方を含む、セキュリティに対する一貫したアプローチを採用する必要があります。プロアクティブな脆弱性管理は、脆弱性が悪用される前に特定、評価、対処することに重点を置いています。これには、継続的な自動ソフトウェア分析が必要です。ソース コードとバイナリのスキャンは、絶えず進化するソフトウェア アーティファクトの潜在的な脆弱性を監視するために不可欠です。
通常、攻撃はソフトウェア サプライ チェーン全体のバイナリをターゲットにしているため、ソース コード分析だけでは発見できない可能性のある脆弱性を特定して防御するには、これらのバイナリをスキャンすることが重要です。
さらに、エンタープライズ コンピューティング環境に導入されたオープンソース ソフトウェアやサードパーティ ソフトウェアには高い脆弱性リスクが伴うため、サードパーティ ソフトウェアに対する効果的なリスク軽減戦略の導入が不可欠です。プロアクティブな脆弱性管理ソリューションは、脆弱性のあるサードパーティ製コンポーネントがソフトウェア サプライ チェーンに入る前にブロックし、アプリケーションの要件に合わせて厳選された安全でセキュアなパッケージを開発者に提供する必要があります。
原則から実践へ
セキュリティに対するよりプロアクティブなアプローチを実現するため、多くの組織が開発環境全体にわたる完全な可視性を備えた一元管理を提供するソフトウェア サプライ チェーン プラットフォームに移行しています。その結果、高品質で信頼できるソフトウェアを継続的に配布できる、安全で標準化および自動化されたプロセスを実現しています。
既存のリアクティブな手法とプロアクティブなアプローチを統合するには、ポイント ソリューションでは不十分です。先進的な DevSecOps 専門家は、ソフトウェア サプライ チェーン プラットフォームだけが、ソース コード分析だけでは発見できない盲点や、サイロ化されたセキュリティ ツールでは発見できない盲点に対して、進化するソフトウェア アーティファクトを強化するエンドツーエンドのセキュリティを提供できることを理解しています。運用環境でのソフトウェア開発に対する継続的な分析は、迅速かつ信頼できるリリースを確保する鍵です。
ベンジャミン フランクリンの有名な言葉である「100 の治療より 1 の予防」は、火災と戦って被害を被るのではなく、火災を予防することの重要性を指しています。これは、ソフトウェア開発環境の保護に関しても言えることです。
ソフトウェアの脆弱性を防止するという積極的な姿勢は、単に防御するだけではなく、現在を守りながら強化し、将来に投資する戦略的な決定です。
脆弱性防止の現状に関する詳細は、DarkReading の最新レポートをご覧ください。
JFrog Platform にはソフトウェアのサプライ チェーンを保護し、悪意のあるオープンソース パッケージやリスクの高いオープンソース パッケージが侵入する前に早期にブロックする JFrog Curation や、CI/CD パイプライン全体で、シークレット、IaC 構成の問題、OSS ライブラリとサービスの不適切な使用を排除する高度なセキュリティ機能である JFrog Advanced Security を含み、安全なソフトウェア サプライ チェーンを実現します。詳しい機能については、デモをお申込み下さい。
記事参照: Proactive Vulnerability Management is a No Brainer for Security, but…
