TokyoBlackHatNews

securityweek.com 4分で読了

SBOMは失敗しているのか?セキュリティチームがSBOMデータに苦戦する中、サプライチェーン攻撃が増加

SBOM(ソフトウェアの部品表)はソフトウェアのサプライチェーンセキュリティを強化することを目的としていました。しかし攻撃は増加しており、あるセキュリティ研究者は、問題はデータ自体ではなく、組織がそれをどのように使用するかにあると考えています。

SBOMは2021年に導入され、必須となりました。その意図は、そして今も、ソフトウェア内のコンポーネントのリストを提供して、可視性を向上させ、サプライチェーンをより良く保護することです。 

SBOMは詳細なソフトウェア成分表を提供していますが、成分に影響を与える可能性のある既知の問題についての情報は提供していません。脆弱性エクスプロイタビリティ交換(VEXステートメント)も導入されました。これは、SBOMコンポーネント内の既知の脆弱性が、その使用コンテキスト内で実際に利用可能かどうかについてのステートメントです。

SBOMとVEXは一緒に機能して、サプライチェーン脅威を打ち負かすために設計されていました。しかし失敗しています。

導入から5年後、サプライチェーン攻撃はこれまで以上に頻繁になっています。2026年3月だけでも、2つの攻撃(TrivyAxios)が数万の組織に感染したと報告されています。

Zenodo、OpenSSF、Reveneraなどで研究が発表されている独立したセキュリティ研究者Devashri Dattaは、SBOM/VEXイニシアティブの失敗を研究しています。彼女はSecurityWeekと彼女の現在の知見について話し合いました。

「ソフトウェアサプライチェーンセキュリティはデータの不足から苦しんでいるのではなく、」彼女は結論づけています。「意思決定の明確さの不足から苦しんでいるのです。」

データはSBOMとVEXステートメント、脆弱性インテリジェンス、およびサードパーティの開示に存在します。「このすべてのデータにもかかわらず、セキュリティとコンプライアンスの決定は一貫性がなく、正当化するのが難しく、しばしば反応的です。問題は可視性ではありません。解釈です。」

新しいSBOMの発行と受け取りにおいても一貫性の欠如があります。ソフトウェアプロバイダは新しいソフトウェアビルド(アップデート、パッチ、新バージョン)ごとに新しいSBOMを生成する必要がありますが、これらの新しいSBOMをすべての顧客に配信する必要があるわけではありません。配信する組織もあれば、しない組織もあります。多くの場合、顧客が更新されたSBOMをリクエストしなければ、SBOMが変更されたことに気付かないかもしれません。

これは変わっており、グローバル規制はより厳しくなっていますが、場所と業界によって異なります。

VEXステートメントの品質も異なります。「VEXが牽引力を得るのに苦戦している、」とDattaは言っています。「ツーリングの制限だけが原因ではなく、組織が実装可能性の主張を立てて防御することへの自信がないからです。多くの場合、この躊躇は技術的な不確実性と同様に責任上の懸念によって駆り立てられています。」

その結果、彼女が示唆しているのは、「セキュリティチームはコンテキストなしで重大度スコアに頼り、エンジニアリングチームは明確で一貫性のある決定基準がなく、法務チームは分断された開示データで動作している。」

最初の要件は、ソフトウェア顧客が現在のデータを持っていることを確認することです。しかし、Dattaの見方では、より大きな問題は、このデータを所有することだけではなく、それを解釈できることです。「本当の問題は、」彼女は言っています。「時間の経過に伴うSBOM全体の変化を解釈できるガバナンスレイヤーがないことです。」

したがって、不足しているのは、より多くのデータまたは別のツールではなく、「これらの入力全体で動作できる統一的な意思決定インテリジェンスアプローチです。」

これは、彼女は続けて、「SBOMをインベントリではなくライフサイクルシグナルとして解釈し、VEXを絶対的な真理ではなくコンテキストの入力として使用し、第三者の開示をリスク推論に統合し、説明可能で防御可能な決定を生成するガバナンス主導のインテリジェンスレイヤーと考えることができます。」

目標は自動化だけではなく、ライフサイクル全体での一貫性のある監査可能な意思決定です。これはますます緊急で重要です。これまでのところ、SBOMとVEXはサプライチェーン脅威が増加している時期に、サプライチェーン攻撃を削減できていません。攻撃者の手にある最新のAIモデルは、脆弱性の発見から脆弱性の悪用までの時間をわずか数時間以下に短縮しています。このレベルのスピードでは、防御者の古い文書への依存はセキュリティ上の脅威になります。

同時に、Dattaは言っています。「SBOM義務、安全な開発要件、およびサプライチェーンの透明性要件によって規制上の圧力が増加しています。」今は問題に先手を打つ時です。

「本当の課題は:『組織は決定が下される理由を説明でき、後で防御できますか?』です。統一的な決定モデルがなければ、答えはしばしば『いいえ』です。」

翻訳元: https://www.securityweek.com/are-sboms-failing-supply-chain-attacks-rise-as-security-teams-struggle-with-sbom-data/

ソース: securityweek.com
#SBOM #VEX #サプライチェーンセキュリティ #サプライチェーン攻撃 #セキュリティガバナンス #セキュリティ意思決定 #ソフトウェアセキュリティ #リスク管理 #脆弱性インテリジェンス #脆弱性管理

関連記事

英国への最も深刻なサイバー攻撃は現在ロシア、イラン、中国からもたらされている、とサイバーチーフが述べた

米国の介入前にベネズエラのエネルギー部門を狙った新しいワイパーマルウェア

廃止されたD-Linkルーターの脆弱性を狙うMiraiボットネット