Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
ゼロトラストセグメンテーション

ゼロトラストセグメンテーションによるサプライチェーン攻撃の阻止

Illumio Editorial
Illumio Editorial
19月、2021
23分読む

バイデン政権のサイバーセキュリティ改善に関する 大統領令の第4条は、サプライチェーンに焦点を当てている。私は驚かなかった。

サプライチェーンは、その複雑さから特に保護が困難です。

対照的に自動車製造を考えてみましょう。この業界では、エンジニアは、自動車フレーム、エンジン部品、部品、サブコンポーネントなど、各車両ごとに各部品を設計します。各要素には耐久性と安全性を確保する仕様があります。

逆に、証券購入者の概念実証 (POC) と調達プロセスを考えてみましょう。多くの場合、コンプライアンスには、任意の数の製品で対処できるソリューションまたは望ましい最終状態が求められます。サプライヤーが構築する仕様の定義されたセットはめったにありません。ファイアウォールベンダーが最後に製品をカスタムメイドしたのはいつですか?

もちろん、構成を調整することはできますが、特定の目的に合わせてカスタム構築されたものではなく、それ以外は何もありません。代わりに、サプライヤーは市場の最大の部分を獲得するために、可能な限り幅広い適用性を持つ製品を作成します。さらに、すべてのベンダーは、急速に変化する市場に対応するために、製品を迅速に構築、リリース、提供するために競争しています。

これに加えて(自動車業界と同様に)、ベンダーは利益を上げるというプレッシャーにさらされています。そのためには、 何かを与えなければなりません。SolarWindsの場合、利益の追求によりセキュリティに妥協しました。このようなことが二度と起こらないようにするにはどうしてもいいのです。

セキュリティ担当者は、他の製品を「監視」するために他のソリューションに依存していますが、残念ながら、これには課題もあります。繰り返しになりますが、SolarWindsの場合、エンドポイント検出ソリューション は常に SolarWindsソフトウェアにマルウェアのフラグを立てていたため、SolarWindsはナレッジベースの記事でソフトウェアの監視機能を無効にすることを推奨していました。

では、どうすればよいでしょうか?

大統領令の前に、AttackIQのジョナサン・ライバーと私は、バイデン大統領令に期待していることを概説したブログを Lawfareに 公開しました。私たちが調査しなかった項目の 1 つは、サプライ チェーンです。ここでいくつかの考えを検討したいと思います。

  1. エンドポイント監視ツールには、誤検知を発生させずにサードパーティを監視するための堅牢なプログラムが必要です。これはエンドポイントベンダーにとっては高価ですが、メリットは計り知れません。残念ながら、これらのプログラムの費用と顧客の価格への敏感さにより、これを達成することは困難になります。
  2. 大統領令は、ソフトウェア開発に透明性が欠けていることを認めていますが、問題は、サプライヤーのサプライチェーンが危険にさらされていないことを保証するためにベールをどのように取り除くかです。そのためには、車輪を再発明するのではなく、国際的な同業他社の1つであるフランスに目を向けることをお勧めします。
  3. フランス政府は、(政府インフラだけでなく)重要なインフラを特定し、そのインフラを保護するための基準を設定し、そのインフラを保護するソフトウェアを提供するベンダーを監査する機関である ANNSIを設立しました。
  5. このアプローチの利点は、ソフトウェアベンダーが規制当局を競合他社と見なさず、ANNSIがソフトウェアを「盗む」ことがないことです。代わりに、サプライヤーを監査することでフランスのインフラの安全性を確保しています。
  7. ANNSIについて最後にもう一つ。前述のように、ANNSIはその原則を政府インフラだけでなく、「重要な」インフラにも適用します。イルミオでは、フランスの製薬、製造、銀行、およびフランス国民にとって「重要」と見なされるその他のインフラストラクチャにこの機関が関与しているのを目の当たりにしてきました。
  9. また、 Colonial Pipelineランサムウェア攻撃 (明らかに重要なインフラストラクチャでもある)にも役立ったでしょう。

多くの点で、資本主義とアメリカの激しい独立は、上記の2つの項目を可能にしないかもしれません。多くのアメリカ人は、政府が自分たちのビジネスをどのように運営するかを指示することを高く評価しないでしょう。では、他に何ができるでしょうか?

答えは簡単で、多くの民間部門の組織がすでにゼロトラストを実施しています。

ゼロトラストフレームワークを採用することで、サプライチェーン攻撃が発生した場合に、イベントが確実に区画化されます。

バイデン政権の大統領令はこの主張に同意した。セクション4(i)では、重要インフラは最小限の権限と ネットワークセグメンテーション を持たなければならない、つまりゼロトラストの原則を適用しなければならないと述べています。

ゼロトラストフレームワークを適用しても、組織のサプライチェーンを監査する必要がなくなるわけではありません。しかし、サプライチェーンが既知のサプライチェーンハッキングについて完全に監査されたとしても、ゼロトラストは未知のサプライチェーン攻撃から保護します。

ベンダーがサードパーティ製ソフトウェアをどのように持ち込んでマルウェアとして誤ってフラグが立てられていないかを確認し、ソフトウェアのコーディング慣行を調べ、複雑なパスワードを使用することで、組織はサプライチェーンの保護に貢献できます。とはいえ、今日の悪者(組織犯罪が支援する、または支援されている国民国家)は方法を見つけるでしょう。問題は、爆発半径が発生したときにどのように制限するかということです。

答えは ゼロトラストを適用 することであり、先週の大統領令は政府が進んでいることを示しています。

ホワイトハウスの大統領令の要件をより早く満たしたいと考えていますか?その方法については 、こちらから ご覧いただくか、連邦政府機関向けのゼロトラストアーキテクチャを設計する方法を学ぶ ワークショップ に参加してください。

関連トピック

サプライチェーン攻撃

関連記事

マイクロセグメンテーションの有効性を測定できますか?
ゼロトラストセグメンテーション

マイクロセグメンテーションの有効性を測定できますか?

イルミオとビショップ・フォックスは、マイクロセグメンテーションの有効性を測定する方法について、業界初の青写真を実施し、文書化しました。

Read more
RSAC 2024:見逃したかもしれない3つの会話
ゼロトラストセグメンテーション

RSAC 2024:見逃したかもしれない3つの会話

今年、RSACに関してよく聞かれた3つのトピックをまとめてご紹介します。

Read more
2025年2月のサイバーセキュリティのトップニュース
ゼロトラストセグメンテーション

2025年2月のサイバーセキュリティのトップニュース

法執行機関の取り締まりにもかかわらず、ランサムウェアギャングが依然として繁栄している理由、CTOがより大きなセキュリティの役割をどのように担っているか、イルミオとそのパートナーがランサムウェアの侵入を阻止するためにゼロトラスト防御をどのように強化しているかをご覧ください。

Read more
No items found.

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

Learn more