1/09/2021

ロシアのSolarWinds攻撃とソフトウェア・セキュリティ

シュナイアーのブログより

アメリカ他の国々に対するロシアの大規模なサイバーインテリジェンス行動について浮上している情報は、一般の人々にますます警鐘を鳴らすのになっています。このハッキングの規模は、主にSolarWindsネットワーク管理ソフトウェアの悪意のあるアップデートによって、250以上の連邦政府機関や企業に影響を与えたと考えられていますが、ホリデーシーズン中にほとんどの人の目に触れなかったかも知れませんが、その影響は驚くべきものです。

>ワシントンポストの報道によると、これはロシア対外情報庁(SVR)による大規模な諜報クーデターだと言います。そして、アメリカ側の大規模なセキュリティ上の失敗もまた、非難の対象となっています。私たちの安全でないインターネット・インフラは、国家安全保障上の重大なリスクとなっています。私たちはこれを真剣に受け止め、正常に戻すためにお金を費やす必要があります。

ジョー・バイデン次期大統領の最初の反応は報復について語りましたが、アメリカがすでに行っていること以上にできることは実際にはほとんどありません。サイバースパイ活動は国や政府の間で当たり前のように行われており、アメリカはこの点で積極的に攻撃を行なっています。アメリカはこの分野の規範がないことから恩恵を受けており、攻撃的な行動を制限したくないため、あまり強く反撃することはありません。

バイデンは先週、米国の防衛力向上の必要性について語った際、より現実的なトーンを取りました。最初の焦点は、ネットワークからハッカーを一掃する方法、国家安全保障局と米国サイバー軍がこの侵入を検知できなかった理由、2年前のサイバーセキュリティ・インフラストラクチャ・セキュリティ庁にこの種の攻撃からアメリカを守るために必要なリソースを持っているかどうかにあると思われます。これらは重要な議論ですが、SolarWindsがセキュリティ侵害を受けたことの原因とどのようにして安全ではないソフトウェアがこれほど多くの重要な政府のネットワークに導入されることになったのかについても対処する必要があります。

ソフトウェアは信じられないほど複雑になっています。私たちのほとんどは、ノートパソコンで実行されているソフトウェアのすべてと、それが何をしているのかほとんど知りません。インターネット上のどこに接続しているのか、どの国に接続しているのか、どのようにデータを送信しているのかさえ分かりません。通常、インストールしたソフトウェアに含まれるサードパーティのライブラリが何であるかは分かりません。また、クラウドサービスが実行しているソフトウェアの種類も分かりません。そして、無知なのは私たちだけではありません。これらすべてを見つけることは非常に困難です。

これは、大規模な政府機関のネットワークやインターネットのバックボーンを動かすソフトウェアにも当てはまります。政府のソフトウェアは、大企業、小規模サプライヤー、オープンソースプロジェクト、その間のあらゆるものから提供されています。曖昧なソフトウェアパッケージには隠れた脆弱性が存在する可能性があり、これらのネットワークのセキュリティ、場合によってはインターネット全体のセキュリティに影響を与えることがあります。ロシアのSVRは、SolarWindsのアップデート・サーバにアクセスして、何千もの顧客を騙して、悪意のあるソフトウェアアップデートをダウンロードさせ、ロシアがネットワークにアクセスできるようにする際に、これらの脆弱性の1つを利用しました。

根本的な問題は、経済的インセンティブの問題です。市場は製品の迅速な開発に報酬を与えます。そして、新しい機能に報酬を与えます。市場は、顧客やユーザをスパイする行為、つまり個人データの収集と販売に報酬を与えます。市場は、セキュリティ、安全性、透明性に報酬を与えません。最低限の信頼性には報酬はなく、回復力(resilience)にもまったく報酬がありません。

これがSolarWindsで起きたことです。ニューヨーク・タイムズの報道によると、同社は基本的なセキュリティ慣行を無視していました。それは、ロシアの影響力が強く、プログラマを陥れる可能性がある東ヨーロッパにソフトウェア開発を移したことで、その方が安いからです。

短期的な利益が、製品のセキュリティよりも優先されたようです。

企業には、このような決定を下す権利があります。本当の問題は、なぜアメリカ政府が重要なネットワークのためにこのような粗悪なソフトウェアを購入したのかということです。これはバイデンが修正できる問題であり、すぐに修正する必要があります。

アメリカは政府のソフトウェア調達を改善する必要があります。ソフトウェアは今や、国家安全保障にとって重要なものとなっています。ソフトウェアを調達するシステムは、ソフトウェアのセキュリティと企業のセキュリティ慣行を詳細に評価して、インストール先のネットワークのセキュリティニーズを十分に満たしているかどうかを確認する必要があります。調達契約には、ソフトウェア開発プロセスのセキュリティ管理を含める必要があります。また、ベンダー側のセキュリティ認証が必要であり、不実告知や遵守しなかった場合には相当の罰則が科せられます。政府は、政府や他の企業のための詳細なベストプラクティスを必要としています。

このようなアプローチのためのいくつかの基盤は、ソフトウェアメーカーがソフトウェアを組み立てる際に使用されるコンポーネントを特定するプロセスを定めた「ソフトウェア部品表(Software Bill of Materials)」の開発を後援している連邦政府によってすでに確立されています。

この精査は、購入して終わりではありません。これらのセキュリティ要件は、政府のネットワークでどのようなソフトウェアが使用されているかと共に、ソフトウェアのライフサイクル全体を監視する必要があります。

これはどれも安いものではなく、安全なソフトウェアのためには、かなり金額を支払う覚悟が必要です。しかし、これらの慣行にはメリットがあります。政府の評価が公開され、それを満たす企業のリストが公開されれば、すべてのネットワーク購入者はその恩恵を受けることができます。純粋に調達の領域で行動するアメリカ政府は、世界中の非政府ネットワークのセキュリティを向上させることができます。

これは重要なことですが、それだけでは十分ではありません。購入したばかりのモノのインターネット・アプライアンスのコードから、重要な国家インフラを実行するコードまで、すべてのソフトウェアに最低限の安全性とセキュリティの基準を設定する必要があります。これはすべて1つのネットワークであり、冷蔵庫のソフトウェアの脆弱性が、全国の送電網を攻撃するのに使われる可能性があります。

先月法制化されたIoTサイバーセキュリティ改善法(The IOT Cybersecurity Improvement Act)は、この方向での出発点です。

バイデン政権は、政府だけでなくすべての人に向けて、アメリカで販売されるすべてのソフトウェアの最低のセキュリティ基準を優先させるべきです。ソフトウェア業界にセキュリティをどれだけ重視するかの決定を任せることができる時代は過ぎ去りました。あなたの車がインターネットを介してハッキングされないようにすることも、国の電力網がロシアによってハッキングされないようにすることも、ソフトウェアのセキュリティは今や個人の安全性の問題です。

この規制は、食品の安全対策を義務付け、自動車メーカーにシートベルトやエアバッグなどの救命機能の設置を義務付けるために法律が必要であったように、企業が顧客に安全とセキュリティ機能を提供することを強制する唯一の方法です。イノベーションを促すスマートな規制は、セキュリティ機能の市場を生み出します。そして、それはすべての人のセキュリティを向上させます。

この種の規制環境でソフトウェアを作成すると、コストがかかるのは事実です。しかし、私たちが個人と国家の安全保障を大切にするならば、そのための費用を支払う覚悟が必要です。

実際のところ、私たちがすでにその代償を払っているのです。今日、ソフトウェア会社は、密かに顧客にリスクを押し付けることで利益を増やしています。政府がSolarWindsのハッキングの後始末のためにコストを払っているように、私たちは安全でないパソコンのコストを払っているのです。この問題を修正するには、透明性と規制の両方が必要です。業界はこの両方に抵抗すると思いますが、コンピュータへの依存度が高まっている世界では、国家の安全保障のためには規制が不可欠なのです。

このエッセイは既にCNN.comに掲載されたものです。