ゼロトラストとオープンソースを活用したデータ保護のアプローチ

2022年10月11日 08時00分更新

文● リック・バノーバー（Rick Vanover）／Veeam Software 製品戦略担当シニアディレクター（寄稿）

　米国では連邦政府がコロナ禍からの脱出を試みる中、その情報技術戦略は、ゼロトラストとオープンソースという魅力的だが相反する2つのトレンドに影響を受けています。

　ホワイトハウスが2021年5月に発令した「国家のサイバーセキュリティの改善に関する大統領令」によると、こうしたトレンドの中で最も顕著なのはゼロトラストの採用かもしれません。しかし、オープンソースソフトウェアの人気も高まっている中では、サイバーセキュリティの堅牢性が弱まるのではないかと危惧する声もあります。

　米国政府機関のオープンソースに関するプロジェクトをまとめたウェブサイト「Code.gov」で公開されている「2020 Federal Source Code Study」によると、Code.gov に登録されている6,800以上のソフトウェアプロジェクトのうち80%がオープンソースです。これにより、開発者はスピーディーにイノベーションを起こすことができ、導入コストを削減し、より多くのベンダーへ選択肢を提供することができます。

　オープンソースのクラウドサポートによるイノベーションのアプローチは、サイバーセキュリティを向上させる可能性もありますが、ソースコードの透明性を悪用して攻撃者はマルウェアを創造的に忍び込ませることもまた可能です。ドイツのボン大学のセキュリティチームが2020年に発表した調査論文「Backstabber's Knife Collection」によると、2015年から2019年の間にオープンソースソフトウェアのサプライチェーンに対する実際の攻撃で使用された174の悪意のあるソフトウェアパッケージが詳述され、ソフトウェアアプリケーションが潜在的な侵害で直面する課題が浮き彫りになりました。

　オープンソースコミュニティは脆弱性の監視と迅速なパッチ適用に長けていますが、オープンソースパッケージが拡散されているため、攻撃が発生するとウイルスが検出される前に急速に拡散してしまう可能性があります。これらのオープンソースソフトウェアアプリケーションが侵害されると、マルウェアに感染したソフトウェアがすでにIT環境で説明されているため、ゼロトラストアーキテクチャが攻撃と戦うことが困難になります。

　オープンソースのサプライチェーンに対する攻撃の潜在的な影響に備えるために、政府機関は、従来のゼロトラスト方式を超えて、サプライチェーン全体を説明する防御戦略と、侵害が発生した場合の強力なデータ保護計画を実施する必要があります。

ソフトウェアサプライチェーン全体を保護する

　オープンソースソフトウェアへの依存は、特に連邦政府がイノベーションにその価値を見いだし続けている公共部門では、衰えることは期待できません。

　つまり、ゼロトラスト保護に加えて、IT責任者は、ソフトウェアサプライチェーン攻撃の可能性に対するサイバーセキュリティも組み込む必要があります。これには、ソフトウェア製品のコンポーネントに関するデータをIT担当者に提供するためにソフトウェア部品表（SBOM）を要求するなどの手順が含まれます。

　また、潜在的な脆弱性から保護するために、企業全体でソフトウェアコンポーネントの頻繁なパッチ適用と更新など、IT管理者による強力なサイバー衛生（サイバーハイジーン）も必要です。

データを保護するには

　すでに起きてしまった攻撃と戦うには、IT管理者はデータが保護されていることを確実なものにする必要があります。2017年のウクライナ攻撃で最初に特定されたマルウェアの一種である「NotPetya」で発見されたように、攻撃自体はもともと、ユーザーがデータにアクセスできないままにした正当なソフトウェアアップデートにインストールされたランサムウェアであると考えられていました。しかし、最終的には、感染したコンピュータのデータを回復不能に破壊し、世界中で100億ドルの損害をもたらした急速に広がるワイパー攻撃であることが判明しました。

　これらの脅威には固有のリスクがあるため、企業は信頼性が高く、検証され、テスト済みで、ミッションクリティカルなすべてのワークロードに展開できるデータバックアップ戦略を実装することが重要です。

　つまり、バックアップの作成瞬間からバックアップの整合性が検証可能で、このような攻撃が発生した場合に迅速に回復できる手順を実行することを意味します。バックアップは、リムーバブルドライブに保存されるか、強化されたリポジトリで保護されるか、エンドツーエンドの暗号化で保護されるか、ランサムウェア修復機能によって保護されるかのいずれかによって、攻撃に対する回復力も備えている必要があります。

　ソフトウェアサプライチェーンを完全に可視化しなければ、脆弱性を特定することは難しいかもしれません。ソフトウェアサプライチェーンを保護するための努力は進行中ですが、オンプレミス、クラウド、その他のソフトウェアベースのシステム内で広範なデータ保護戦略を持つことは、重要なフェイルセーフであり、したがって最も包括的な保護設定です。

　ゼロトラストは、潜在的なサイバー攻撃に打ち勝つ重要な戦略であり続けていますが、ますます巧妙化する敵に対して展開される戦略の1つにすぎません。政府がこのような脅威に対して回復力を持つようにするには、強力なデータ保護戦略を基盤に据えることが不可欠です。

（寄稿：Veeam Software）

■関連サイト