1727167932
2024-09-24 08:39:52
車を購入する際、徹底的な衝突安全テストを受けていない車を信頼しますか? もちろん信頼しません。車両の安全性と信頼性は最も重要であり、厳格にテストされているとわかれば安心できます。
同様に、FDA の厳格な安全性と有効性テストを受けていない新しい処方薬を服用しますか? 絶対にしません! 私たちは、健康と幸福を守るためにこれらの安全対策に頼っています。
ではなぜ多くの企業がソフトウェアやハードウェアを徹底的に評価せずに購入してしまうのでしょうか? サイバーセキュリティ これらの製品にはどのようなリスクが伴うのでしょうか? サイバー脅威の頻度と巧妙さが増している今日の世界では、ソフトウェア セキュリティに対するこのような盲目的な信頼は危険なだけでなく、受け入れられません。
ソフトウェア セキュリティ分析を企業の購買および調達プロセスの一部にする必要があるのはなぜですか?
現代の企業では、ソフトウェアはあらゆる企業のバックボーンであり、 仕事 プロセス、企業と顧客やパートナーとのつながり、バックオフィス業務の自動化、さらには市場での存在感の構築など、今日の世界はソフトウェアで構築されています。サードパーティのソフトウェア、 オープンソースソフトウェア、自社開発ソフトウェア、 オペレーティング·システム ソフトウェア、アプリケーション、コンテナ、デバイス ファームウェアなどが挙げられます。
しかし、ソフトウェアへの依存には隠れた危険が伴います。多くの企業は、購入したソフトウェアは本質的に安全であるという前提で事業を行っています。残念ながら、最近注目を集めたソフトウェア サプライ チェーンの侵害は、その前提がまったく異なることを証明しています。現実には、ソースがいかに信頼できるものであっても、すべてのソフトウェアにはリスクが伴います。
それにもかかわらず、現在のソフトウェア調達プロセスには、検討中の製品のサイバーセキュリティ リスクを評価するための定量化可能な方法が含まれていることはほとんどありません。NetRise のソフトウェア分析によると、異なるベンダーの類似のソフトウェア資産クラス間でソフトウェア リスク レベルに最大 300% の差が生じる可能性があります。つまり、表面上は似ているように見えても、一部の製品は他の製品よりも大幅に安全である可能性があるということです。
サイバーセキュリティが購買決定における重要な考慮事項であるべきという認識は、新しいものではありません。少なくとも 2018 年以降、購買部門は品質や納品実績などの従来の要素に加えて、ベンダーのソフトウェアのサイバーセキュリティを評価する必要があるという認識が高まっています。問題は、調達プロセスにサイバーセキュリティを含めるかどうかではなく、なぜ今含めるべきなのかということです。
なぜ今なのか?
サプライチェーンのセキュリティに対するサイバー攻撃は急増しており、次のような驚くべき統計が示されています。
Capterra の「2023 年ソフトウェア サプライ チェーン調査」によると、調査前の 12 か月間に 61% の企業がソフトウェア サプライ チェーンのサイバー攻撃の影響を受けました。
ソフトウェア サプライ チェーン攻撃は世界的な課題となっており、その範囲と頻度は劇的に増加しています。しかし、こうしたリスクを軽減するための積極的な取り組みは依然として稀で、Sonatype の第 9 回年次ソフトウェア サプライ チェーンの現状レポートの回答者のうち、サプライ チェーンのセキュリティ リスクの見直しに取り組んだ人はわずか 7% でした。
明らかに、企業の購買および調達プロセスは、これらの評価を開始する場所です。
しかし、セキュリティはすでに企業の調達プロセスの一部ではないでしょうか?
セキュリティは企業の調達プロセスにすでに組み込まれていると思われるかもしれません。これはある程度は真実です。多くの組織では、調達業務の一環としてサプライ チェーンのセキュリティ対策を組み込んでいます。ただし、これらの対策には通常、検討対象のソフトウェア製品のサイバーセキュリティ リスクの直接的なテストや評価は含まれていません。
では、一般的な企業の調達プロセスには何が含まれるのでしょうか? サイバーセキュリティおよびインフラストラクチャセキュリティ庁 (CISA) によると、標準的な手順には次のような内容が含まれることが多いようです。
- ベンダーアンケートと評価
- ベンダーのセキュリティポリシーと実践のレビュー
- 第三者認証の監査(例:ISO 27001)
- 契約上のセキュリティ要件
- サプライヤーパフォーマンス管理
これらの手順は重要ですが、ベンダーによる自己報告に大きく依存しています。米国道路交通安全局 (NHTSA) や食品医薬品局 (FDA) などの第三者機関に自動車や医薬品の独立した安全性テストの実施を委託する一方で、サイバーセキュリティの状況についてはソフトウェア ベンダーに自己報告を依頼することがよくあります。これはプロセスにおける重大なギャップであり、「信頼しつつも検証する」という原則が機能する必要がある部分です。
信頼しつつも検証する: 購入したソフトウェアの脆弱性とリスク状態を正確に把握する
企業は、直接分析することで積極的なアプローチを取るべきである。 ビジネスソフトウェア 調達プロセスの一環として購入を検討しています。
しかし、多くの組織は、これが可能であることすら認識していません。しかし、それは可能です。そして、数分で実行できます。このアイデアに初めて出会ったとき、信じられない人もいるかもしれません。しかし、それは可能であり、効率的かつ効果的に実行できます。
ここで「信頼しつつも検証する」ことが役立ちます。ソフトウェアを盲目的に信頼すると、データ漏洩から運用の中断まで、壊滅的な結果を招く可能性があります。すべてのソフトウェア コンポーネントと依存関係を包括的に可視化することは、推奨されるだけでなく、必要です。このレベルの可視化は、あらゆる企業の購入および調達プロセスにシームレスに統合できます。
調達にソフトウェア分析を組み込む手順
これらの課題に対処するには、組織はソフトウェア分析を調達ワークフローに統合することを優先する必要があります。NetRise の調査結果は、すべてのソフトウェア コンポーネントとリスクを詳細に理解することが極めて重要であることを強調しています。企業が検討すべき基本的な手順は次のとおりです。
包括的なSBOMを生成する: 詳細なソフトウェア部品表 (SBOM) を作成することは、効果的なサプライ チェーン セキュリティの基盤となります。SBOM は、サードパーティのライブラリや依存関係を含むすべてのソフトウェア コンポーネントの明確なインベントリを提供します。このインベントリは、リスクを効果的に特定して管理するために不可欠です。最近の Netrise の調査では、テスト済みの 100 台のネットワーク機器デバイスに対して詳細な SBOM を生成し、各デバイスに平均 1,267 個のソフトウェア コンポーネントが含まれていることがわかりました。
自動化されたソフトウェアリスク分析を実装する: 詳細なソフトウェア リスク分析方法を使用することで、企業は各ソフトウェアまたはファームウェア パッケージの完全なリスク状況を明らかにし、徹底したリスク評価を行うことができます。NetRise の調査では、平均的なネットワーク機器デバイスには、基盤となるソフトウェア コンポーネントに 1,120 件の既知の脆弱性があることがわかりました。
ソフトウェアリスクの優先順位付けと比較包括的な可視性が達成されたら、組織は CVSS スコア以外の要素、たとえば武器化やネットワーク アクセス可能性などに基づいて脆弱性を優先順位付けする必要があります。このアプローチにより、最も重要な脅威が確実に特定されます。この優先順位付けされた重要な脅威のリストを使用して、チームはさまざまなソフトウェア製品のリスク状態を比較対照できます。たとえば、NetRise の調査では、ネットワーク デバイス 1 台あたりの武器化された脆弱性は平均 20 件しかなく、さらに詳しく調べると、ネットワーク アクセス可能な武器化された脆弱性は 7 件しかありません。
責任ある脆弱性とリスク開示: 購入および調達プロセスに導入されたら、企業は脆弱性とリスク評価情報を、検討対象のソフトウェア ベンダーに責任を持って開示するためのプロセスを確立する必要があります。この情報は機密情報とみなされ、組織外に共有されません。
これらの手順に重点を置くことで、組織はサプライ チェーンのセキュリティ プロセスとソフトウェアおよび/またはハードウェアの購入のサイバーセキュリティを大幅に強化できます。
結論
急速に進化する今日のサイバー脅威の状況では、購入したソフトウェアが安全であると信じるだけではもはや十分ではありません。リスクは大きく、侵害の結果は深刻すぎます。調達プロセスにソフトウェア分析を組み込むことで、組織は新しいソフトウェアやハードウェアを取得する際に、情報に基づいた安全な選択を行うことができます。
包括的なソフトウェアの可視性、自動化されたリスク分析、責任あるリスク開示は、単なるベスト プラクティスではありません。デジタル資産を保護したい組織にとって不可欠なステップです。信頼だけに頼るのではなく、検証する時が来ました。これらのプラクティスを採用することで、組織はサイバーセキュリティ対策の強固な基盤を構築し、増加するソフトウェア サプライ チェーン攻撃から業務を保護できます。
今こそ行動を起こす時です。今すぐソフトウェア分析を調達プロセスに統合し、ソフトウェア サプライ チェーンのセキュリティを管理しましょう。
この記事は、今日のテクノロジー業界の最も優秀で聡明な人々を特集する TechRadarPro の Expert Insights チャンネルの一環として作成されました。ここで表明された意見は著者のものであり、必ずしも TechRadarPro または Future plc の意見ではありません。寄稿にご興味がある場合は、こちらで詳細をご覧ください。 https://www.techradar.com/news/submit-your-story-to-techradar-pro
#調達における脆弱性とサイバーセキュリティリスクの評価