サプライチェーンのセキュリティ

組織は、多様な情報源から発生するアラートや環境への潜在的な脅威を常に監視、検知し、対応しようとしています。特に、やや捉えどころがなく、あまり議論されていないのが、サプライチェーンのセキュリティです。組織は、不正なデバイスがネットワークにいつ追加され、その後どのように保護・監視されているかを把握するために、多くの時間を費やしています。一般的に、信頼できるサプライヤーから受け取るデバイスを厳密に検査・分析しているわけではありません。これは、これらのデバイスを検査するためのスキルとツールが、一般的なセキュリティ担当者のものではないため、当然のことです。.

連邦政府がサプライチェーンをどのように保護しているか

サプライヤー自身も、サプライチェーンを理解し、確保するために多くの時間と労力を費やしており、政府も厳格なプログラムを実施している。 DHSの戦略 そしてDARPA SHIELD。しかし、サプライヤーや連邦政府以外に目を向けると、能力と重点の面でかなり大きな差があるように思われます。ハードウェアの消費者として、私たちは購入先の供給元が信頼できるものであり、デバイスのセキュリティはハードウェアの価格に含まれていると想定しています。しかし、その想定をすることで、私たちは潜在的なリスクにさらされる、あるいは少なくとも無視してしまうことになります。.

サプライチェーンにおける潜在的な脅威は一般的である

「空が落ちてきて、ハードウェアがすべて侵害されている」などと長々と批判するつもりはありませんが、組織にとってのあらゆる潜在的なリスクを考慮する際には、サプライチェーンにおける潜在的な脅威を常に念頭に置いておくことが重要です。そして、これらのリスクは前例のないものではありません。例えば、新品や再生品のハードウェアにスパイウェアを仕込んだまま出荷するベンダーの事例があります。 レノボ、ノートパソコンにスパイウェアをプリインストール そして Dell、サーバーマザーボードのマルウェアに関する警告. 。また、 構築された概念実証ソフトウェア リリース当時、100種類以上のマザーボードで利用できました。そして毎年 デフコン, ひげ、ビール冷却、車のハッキングといったコンテストに加え、不正開封防止（タンパーエビデント）機器とそのパッケージへのアクセスを競うコンテストもあります。これは単なるFUD（恐怖、不確実性、疑念）ではありません。.

サプライチェーンの安全を確保する方法

では、どうすれば良いのでしょうか？もちろん、サプライヤーがサプライチェーンをどのように保護しているかを調査し、責任を問うことは良いスタートですが、事後対応では役に立ちません。一般的に、再生機器、特にOEMサプライヤーから直接入手していない機器には注意が必要です。しかし、デバイスが侵害された場合、それがハードウェア、マルウェア、あるいはその他の手段によるものであっても、データの窃取やリモート操作の実行を可能にするために、何らかの形で外部ソースとの通信が行われます。ネットワークの保護は、エンドポイントから境界に至るまで、企業内で発生するネットワーク通信の標準的なセキュリティ運用と監視にかかっています。.

サプライチェーンセキュリティの課題

しかし、このアプローチには2つの課題があります。まず、影響を受ける資産がノートパソコンやモバイルデバイスである場合、オープンWi-Fi（ 前述のホワイトペーパーのジョナサン・ブロサード（）は監視できません。また、固定インフラによって、より広範なネットワークが侵害される可能性もあります。例えば、インターネットアクセスが制限されているサーバーが侵害を受けても、ゲストWi-Fiにアクセスして外部サイトに接続し、悪意のあるコマンド＆コントロール命令をダウンロードできる可能性があります。.

2つ目の問題は、監視対象が多すぎるというよくある問題です。内部ソースから発生するすべてのトラフィックをどのように精査すればよいのでしょうか？ホワイトリストやユーザーエージェント文字列は、ネットワークトラフィックが許可された場所にのみ送信されるようにするための優れた方法ですが、必ずしも問題を特定できるとは限りません。異常に多いユーザーエージェントエラーや失敗したWebリクエストを検知できれば、この種の通信を特定するための最良の方法の一つとなるかもしれませんが、イベントの量が膨大であるため、多くの場合、これは実現不可能です。.

セキュリティ自動化がサプライチェーンのセキュリティを実現する方法

ここは セキュリティ自動化 誤検知、無害な通信、そして最終的には悪意のある通信試行を機械の速度で識別するモデル化を支援することで、あなたの味方となることができます。できることの一つは、新規または未知の宛先へのネットワークセッションを積極的に調査し、セキュリティチームに自動的に通知（Slack、メール、チケットなど）することです。宛先アドレス（IP/URL/ドメイン）の調査が難しい場合は、自動化機能を使用して、WhoIS、ドメイン、ASN、GeoIPなどの調査リソースを活用することができます。 脅威インテリジェンス情報. これらを活用することで、潜在的に悪意のある宛先アドレスを自動的に識別し、膨大な量のネットワーク セッションをトリアージするプロセスをより管理しやすくすることができます。.