「速く動いて壊せ(Move fast and break things)」というフレーズは、テクノロジー業界における指針となる哲学です。このフレーズは、MetaのCEO兼創業者であるマーク・ザッカーバーグが20年以上前に生み出したもので、安定性を犠牲にしてでもスピードとイノベーションを優先するようFacebookの開発者に求める運用上の指令でした。「何かを壊していないのなら」とザッカーバーグは2009年のインタビューでBusiness Insiderに語り、「十分に速く動いていないのだ」と述べました。
しかし、ザッカーバーグの呼びかけはFacebookのオフィスの外にも広く響きました。テック業界は約20年にわたりこの哲学を受け入れてきました。その恩恵は私たちの周囲の至るところに見て取れます。TikTokのインフルエンサーから、非接触のモバイル決済、自動運転タクシー、AI搭載メガネに至るまで。
しかし実際には、「速く動いて壊せ」という文化は、ソフトウェアのセキュリティやレジリエンスよりも、短いリリースサイクルと機能開発を優先する企業を生み出しました。彼らは速く動き、壊れたものを作ってしまうのです。脆弱で設計の甘いアプリケーション、サービス、デバイスは、サイバー犯罪グループや敵対国家の格好の標的になります。たとえば、中国支援のAPTグループが2025年にオンプレミスのMicrosoft Sharepointインスタンスの既知および「ゼロデイ」の欠陥を狙った事例や、2023年にIvantiのVPNデバイスを狙った事例が挙げられます。これらのキャンペーンにより、米国の連邦政府機関や重要インフラ運用者を含む、世界中の数百の組織が侵害されました。
さらに、中国支援の脅威アクターUNC6395によるキャンペーンもありました。彼らは、サードパーティアプリケーションであるSalesloft Driftから盗まれたOAuthトークンを用いてSalesforceの顧客を標的にし、数百のSalesforceインスタンスから大量のデータを流出させました。
これらのインシデントは、今日のサイバー脅威環境における2つの重要な特徴を浮き彫りにしています。第一に、攻撃者は高深刻度のセキュリティ脆弱性を含むレガシーコードを抱えた古いアプリケーションを悪用します。第二に、Salesforceのような大規模で複雑なクラウドプラットフォームを、脆弱なサードパーティ統合、ソフトウェア依存関係、管理不十分なAPIを侵害することで狙います。
この問題をさらに悪化させているのが、「ソフトウェア供給者は信頼でき、安全である」という危険な前提です。この考え方は時代遅れです。かつてはサプライチェーン攻撃はまれで、開発サイクルは数カ月から数年かかり、迅速にパッチを適用することが金科玉条でした。ところが今日の「速く動く」時代では、コードは開発から本番環境へ、数日、数時間、あるいは数秒で移行し得ます。」
最近のTrust Walletの侵害を考えてみましょう。12月、暗号資産アプリケーションのベンダーは、侵害されたGoogle Chrome拡張機能を通じてハッカーが約850万ドル相当の暗号資産を盗んだと開示しました。根本原因は、11月に発生したShai Huludのレジストリネイティブ・ワームの流行で、これによりTrust Wallet開発者のGitHub認証情報が漏えいしました。同社がブログ投稿で述べたところによれば、攻撃者はこれらの認証情報を用いてTrust Walletのブラウザ拡張機能のソースコードとChrome Web Store(CWS)のAPIキーにアクセスしました。これにより、Trust Walletの標準的なセキュリティレビューを迂回して、悪意ある拡張機能ビルドをストアへ直接アップロードできるようになりました。数日後、Trust Walletのユーザーはウォレットが空になっていることに気づくことになりました。
信頼された供給者やオープンソースプロジェクトからのソフトウェア更新のような「事前にお墨付きのある」チャネルを侵害することで、犯罪者や国家支援の攻撃者は、機微なIT環境へと到達範囲を広げることができます。
このような問題の解決は、「速く動いて壊せ」の時代を終わらせなければならないと認識することから始まります。ソフトウェアがデータベースサーバーから食洗機、トラクターに至るまであらゆるものを動かすようになった今、ベンダーは市場の要求と規制要件を満たすためにセキュリティを優先しなければなりません。つまり、自社ソフトウェアが安全であることを証明する必要があります。ソフトウェア構成解析(SCA)、静的アプリケーションセキュリティテスト(SAST)、動的アプリケーションセキュリティテスト(DAST)といった従来のアプリケーションセキュリティテストツールは、解決策の一部です。
しかし、今日の脅威環境では、ソフトウェア発行者はアプリケーションセキュリティの「おなじみの容疑者」だけにとどまらず、さらに目を向ける必要があります。従来のアプリケーションセキュリティツールでは通常回避されてしまう改ざんや悪意あるコードを検出するため、リリース前にコンパイル済みバイナリをテストしなければなりません。実際、SolarwindsのOrionや、VoIPプロバイダー3CXのDesktop Appのハッキングのようなインシデントで見られたのは、まさにそれです。
ソフトウェア発行者は、コード品質、セキュリティ、透明性も優先する必要があります。そのために、「ゼロ脆弱性」という野心的な目標を設定し、「コードの腐敗(code rot)」(古く脆弱なソフトウェアモジュールへの依存)といった問題に取り組む動機付けを行えます。また、製品の部品表を公開することで透明性を受け入れなければなりません。これには、SBOM(ソフトウェア部品表)、MLBOM(機械学習部品表)、SaaSBOMが含まれます。組織が利用するソフトウェアに何が含まれているかを把握することは、脆弱なソフトウェア依存関係やその他のサプライチェーン上の弱点を悪用する攻撃を未然に防ぐうえで極めて重要になり得ます。
テック企業はそれでも速く動き、イノベーションを続けるべきでしょうか。もちろんです。しかし2026年には、イノベーションと迅速なリリースは、さらに重要な優先事項――ベンダーと顧客の双方を攻撃から守る、安全でレジリエントなテクノロジーを構築すること――とバランスを取らなければなりません。「速く動いて壊せ」ではなく、新たな合言葉が必要です。「賢く、安全なものを作れ(Make Smart and Safe Things)」。
サシャ・ズジェラルはReversingLabsのChief Trust Officer(CTrO)であり、Crosspoint CapitalのOperating Partnerでもある。Fortune 10企業における約20年のグローバルなエグゼクティブ・リーダーシップ経験を有する。CTrOとしての職務範囲には、製品セキュリティを含むCISO/CSO機能のリーダーシップ、監督、ガバナンスに加え、企業および製品戦略、戦略的パートナーシップとリサーチ、顧客およびテクノロジーのアドバイザリーボードに関して他のリーダーと連携すること、ならびにReversingLabs CISO Councilのスポンサーを務めることが含まれる。
翻訳元: https://cyberscoop.com/move-fast-break-things-cybersecurity-supply-chain-security-op-ed/
