デジタルサプライチェーンのリスクに関する現状
The digital supply chain offers unparalleled flexibility and freedom, enabling organizations to rapidly acquire new capabilities and seize opportunities. But it also comes at the cost of increased cyber risk exposure.
Introducing a web of thousands of moving parts makes it extremely challenging to maintain effective visibility of the IT estate and identify potential vulnerabilities.
However, threat actors are also actively seeking to exploit these connections. Attacking third party connections such as SaaS suppliers or software plugin developers enables cyber criminals to bypass security defenses and potentially strike at the heart of an organization’s network. This connectivity can be exploited to deploy malware, including highly destructive targeted ransomware, within the target business, exfiltrate high-value data, or establish command-and-control.
Gartner® has named digital supply chain risk as one of the leading security and risk management trends for 2022 and predicts that, “by 2025, 45% of organizations worldwide will have experienced attacks on their software supply chains, a three-fold increase from 2021.”1
Indeed, it has already been estimated that supply chain attacks have tripled in 2021 alone. Some of the biggest data breaches of the last year have centered on digital supply chains.
Log4Shell
This high-profile exploit affected the popular Apache Log4j 2 java library used for logging error messages. The vulnerability, officially CVE-2021-44228, enabled an attacker to gain remote access to a device running certain versions of Log4j 2 through text messages. The flaw was discovered and quickly patched in December 2021 but may have been around since as early as 2013. It is thought that nearly half of all organizations may have bene targeted using the vulnerability at some point.
Okta
In March 2022, secure MFA provider Okta announced that it had suffered a major security breach in January that impacted hundreds of customers. The breach demonstrated how third-party connections are targeted and exploited, as it began with the compromise of a sub processor supplying Okta. The attackers, a hacking group known as Lapsus$, was then able to enter customer networks and access data using a remote desktop tool.
Office 365
Threat actors have increasingly targeted the extended Office 365 environment in targeted phishing attacks. The victims are first hit with an email prompting them to login into their 365 account and verify a new application. Rather than the usual imitation phishing site, the email links through to the user’s genuine Office 365 login page. The threat is the application itself, which will provide the attacker with access to the user’s files and emails. Because it is already within the environment, the rogue application can circumvent the need for multifactor authentication (MFA).
SolarWinds
Despite occurring in 2020, the SolarWinds attack remains the most notorious example of a high-end digital supply chain attack. Widely believed to be the work of Russian-backed operatives, the incident saw software vendor SolarWinds breached in a sophisticated multi-pronged attack that targeted its popular Orion solution. The perpetrators covertly injected malicious code into an update for the software, enabling them to access the networks of thousands of users, including governmental bodies such as the US Treasury and Justice department.
サードパーティ連携連携がSalesforce に新たな脅威をもたらす理由
Salesforceは多くの組織にとって不可欠な資産であり、顧客管理やデジタルエクスペリエンス戦略全体において決定的な役割を果たすことが少なくありません。そのため、さまざまな業務ニーズに合わせて環境をカスタマイズ・設定できる機能に対する市場の需要は非常に高いのです
Salesforceプラットフォームは、サードパーティ製アプリケーション、コンポーネント、クラウドサービスを活用することで、大幅なカスタマイズや拡張が可能です。プラットフォームの公式アプリストアであるSalesforce AppExchangeでは3,400以上のアプリが提供されており、組織はSOAPやREST APIを介してSalesforce環境を外部システムやアプリケーションと連携させることもできます。これらのシステムは異なるクラウド環境でホストされており、様々なプロプライエタリソフトウェアやオープンソースソフトウェアを使用している場合があります。さらに、Salesforceプラットフォームは、従来の電子メールやWebフォームベースの連携もサポートしています
これほど多くの選択肢があるため、企業はSalesforce環境に適用したいあらゆる適応や拡張に対して、サードパーティによるサポートを確実に見つけることができます。しかし、新しい要素が追加されるたびに、組織がデジタルサプライチェーンのリスクにさらされる可能性も高まります。
ここには複数の潜在的な脅威が存在します:
- 悪意のあるなりすまし
- 侵害されたソフトウェア
- 脆弱なコード
内部に潜む脅威
他のデジタル環境と同様、Salesforceも正しく設定されていない場合、極めて脆弱な状態になり得ます。
設定ミスのあるアプリケーションや不十分なID管理は、環境を瞬く間に危険にさらします。攻撃者は、セキュリティ対策が不十分なユーザーアカウントや、デフォルト設定のまま放置されたアプリケーションを嗅ぎ分けることに長けています。アクセス制御が脆弱であれば、サイバー攻撃者が環境に侵入するのははるかに容易になります。
これは、サードパーティ製アプリケーションやコンポーネントを通じて何百もの新しい要素が導入される前から、すでに深刻な問題です。特に大規模な組織では、支店や部門間の連携不足により、同じタスクのための冗長なアプリやプラグインによって環境が肥大化してしまうため、問題になりやすい傾向があります。一方、小規模な企業はより効率的であるかもしれませんが、効果的な安全策を講じずにその場しのぎで新しいコンポーネントを追加してしまう可能性が高くなります。
なお、Salesforceはその後、リスク低減を目的として設定が不適切な共有ルールを可視化する措置を講じており、デフォルト設定をより安全な設定に変更するリリースアップデートも公開しています。例えば、Lightning Experienceアプリケーションである「Salesforce Optimizer」を使用すれば、定期的なチェックを実施し、ゲストユーザーに関する潜在的な問題を特定することができます。
Salesforce を狙うサプライチェーン攻撃の構造
Salesforce環境の規模と複雑さゆえに、デジタルサプライチェーン攻撃の一環として標的とされ、悪用される可能性は多岐にわたります。以下に、攻撃シナリオの2つの例を示します。
シナリオ1:脆弱なサードパーティシステム
ここでは、攻撃者は、分析用のデータを取得するツールなど、Salesforceと連携しているソフトウェアアプリケーションの脆弱性を特定し、それを悪用してシステムへのリモートアクセスを達成します。脆弱性のあるアプリケーションはAPIを介してSalesforceに接続されており、通常、APIは人間のユーザーよりも高い信頼レベルを持つため、攻撃者は比較的容易にシステムにアクセスすることができます。
攻撃者はSalesforce内のデータを盗んだり破壊したりすることを狙う場合もありますが、攻撃チェーンの一環としてプラットフォームの機能を利用することも可能です。例えば、悪意のある文書やURLを環境全体に散布し、従業員、顧客、その他の関係者など、警戒心の薄いユーザーにクリックやダウンロードさせることができます。こうしてユーザーが侵害されると、そのシステムへのアクセス権が悪用され、企業のITインフラの残りの部分に対する攻撃が継続されることになります。
シナリオ 2:侵害された開発ツール
このシナリオでは、攻撃者はまずソフトウェアベンダーのソースコードリポジトリまたはCI/CDシステムを標的とし、その製品に悪意のあるコードを仕込みます。システムへの初期アクセスは複数の方法で達成可能ですが、SolarWindsの事例が示すように、フィッシングを利用してユーザーの認証情報を取得するのが最も一般的な手口の一つです。
その後、そのアプリケーションやコンポーネントがSalesforce環境に統合され、攻撃者はその接続性を悪用して他のユーザーやエンドポイントを侵害できるようになります。ここからも、攻撃者はあらゆる悪意のある目的を達成することが可能です。このプロセスは繰り返されることもあり、標的となった組織は、拡大したサプライチェーン攻撃におけるさらなる足掛かりとして利用されることになります。
攻撃者は、最初の侵入時にSalesforceインスタンスに直接アクセスする場合もあれば、バックドアを実装し、後にインテグレーターが本番環境へのアクセス権を取得するのを待つ場合もあります。開発者は、特に有名なベンダーのツールであれば、そのセキュリティを盲目的に信頼する傾向があります。しかし、SolarWindsの事例が示すように、定評のあるベンダーであっても、組織的な攻撃者に侵害されればリスクの源となり得ます。
デジタルサプライチェーンリスクを軽減するためのベストプラクティス
サイバーセキュリティは、単一の特効薬では解決できない複雑な問題です。これは、Salesforceのように大規模かつ高密度なクラウド環境において特に当てはまります。したがって、Salesforceに対するデジタルサプライチェーン攻撃のリスクを軽減するには、適切なセキュリティソリューションと適切なプロセスおよびポリシーを組み合わせた多層的なアプローチが必要です。Salesforceのセキュリティ戦略において最も重要な要素には、以下が含まれます:
1. アプリケーション・ポートフォリオ管理(APM)の導入
Salesforce環境のセキュリティを確保するためには、脆弱性や過去のインシデントの調査、問題解決の検証、アプリケーション・ポートフォリオ管理プロセスの導入を含め、すべてのアプリケーションとコンポーネントを徹底的に精査する必要があります。さらに、組織はサードパーティベンダーのセキュリティ対策を評価し、サービスレベル契約(SLA)にセキュリティ要件を盛り込むとともに、国家が支援する攻撃のリスクを軽減するために地政学的要因にも注意を払うべきです。
2. 侵害発生時の潜在的な影響のリスクマッピング
組織は、資産がSalesforce環境内でどのように位置づけられるかを徹底的に評価し、その機能やSalesforceおよび広範なITインフラとの接続性を考慮した上で、侵害が発生した場合の潜在的な影響を評価する必要があります。企業は、新しいコンポーネントを導入する際のリスクとメリットを慎重に比較検討し、この分析を全体的なセキュリティ戦略に組み込むべきです。
3. サードパーティ資産の一元的な可視化
多数のサードパーティコンポーネントが存在する複雑な Salesforce 環境において、管理者は可視性を確保することを最優先し、死角を最小限に抑え、インシデントを軽減すべきです。重要かつ高リスクな要素にまず焦点を当て、新しい資産を導入するための体系的なポリシーを実施し、管理範囲を段階的に拡大することで、可視性を維持し、冗長なアプリケーションの追加を防ぐことができます。
4. 設定ミスとアクセス問題の排除
デジタルサプライチェーンに注力するだけでなく、組織はサイバーセキュリティリスクを軽減するために内部プロセスにも注意を払う必要があります。Salesforce環境における正しい設定とアクセス管理を確保するための監査の実施、最小限のアクセス権限の設定、不要な共有機能の無効化、およびユーザープロファイルや自動化システムに対する最小権限の原則の採用は、不可欠な対策です。新機能の定期的な見直しやシステム構成の定期的な詳細な評価が必要であり、専門家の知見を求めることで、包括的なセキュリティを確保するのに役立ちます。
5. Salesforce上の悪意あるコンテンツをブロックする
サプライチェーン攻撃やSalesforceを介した悪用を防ぐため、組織にはエンドポイント、ネットワーク、クラウドベースの保護を含む包括的なセキュリティアプローチが必要です。WithSecureは、最新の攻撃を防止、検知、対応するためのソリューションを提供しており、その中にはCloud Protection for Salesforceも含まれます。これは、プラットフォームにアップロードされる悪意のあるファイルやURLを特定・ブロックするためにすべてのコンテンツをリアルタイムでスキャンし、ユーザー体験に影響を与えることなく強力な保護を確保します。
6. 効果的な対応計画の策定
データ侵害は避けられないものであるため、組織は効果的なインシデント対応および修復計画を実施し、Salesforce環境に対するデジタルサプライチェーン攻撃の可能性に備える必要があります。詳細なログ記録やフィールドごとの暗号化などの機能を備えたSalesforce Shieldのようなサービスを活用することで、インシデントの検出と分析を支援できます。さらに、専門パートナーが提供するような高度なスキルやツールを活用することで、環境内の脅威を特定・除去できます。また、定期的なシステムバックアップや代替通信手段を導入することで、Salesforce環境が侵害された場合の業務への影響を軽減できます。
2023年のデジタルサプライチェーンリスクへの先手を打つ
脅威アクターが防御を回避するための新たな攻撃経路を模索する中、サプライチェーンリスクは急速に拡大しています
組織が予防策を講じない限り、拡張されたSalesforce環境は攻撃経路として脆弱です
企業は被害に遭う前に、今すぐ準備すべきです
サプライチェーンリスクは、デジタル時代におけるビジネス活動において避けられない要素です。企業は、自社のサプライチェーンが拡大する一方で、脅威アクターがセキュリティ防御を回避する新たな機会を絶えず模索しているため、脅威が増大していることを認識しなければなりません。
デジタルフットプリントが拡大し、より多くのサードパーティと接続されるにつれ、組織は拡張されたサプライチェーンを監視・制御する能力を、その拡大に追いつくように確保しなければなりません。
Salesforceは、重要なCRMシステムであると同時に、数百もの異なるサードパーティ要素が存在し得る環境でもあるため、これらのセキュリティ計画において重要な位置を占める必要があります。
Salesforceは自社のインフラのセキュリティ確保に責任を負っていますが、環境内に導入されるサードパーティ製コンポーネントやコンテンツについてはユーザーが責任を負うことになります。これは「責任分担モデル」として知られるアプローチです。
SolarWinds、Kaseya、Log4Jといった注目を集めたインシデントが引き続きニュースの見出しを飾り、サプライチェーンリスクへの認識を高めています。しかし、Salesforceはまだこの議論の対象にはなっていません。
デモのご予約
今すぐ始める Salesforce セキュリティ対策
高いコンプライアンスが求められる業界向けに最適化された認証取得済みソリューションが、金融、医療、公共部門を含むグローバル企業のSalesforce製品を保護します。
フォームにご記入の上、送信してください:
無料15日間トライアル
Salesforce環境のコンテンツリスク診断の無料診断レポート
デモやソリューションのコンサルテーション
セットアップ・設定に関する専門家のサポート