整合性を保護する設計
 設計、実装、運用、およびデータの破損を防ぎ、システムが目的のユーティリティを提供するのを阻止したり、所定の制限の外で動作する原因となる中断を回避します。 システムは、ワークロードのライフサイクル全体にわたって情報の保証を提供する必要があります。 |
|---|
重要なのは、ビジネス ロジック、フロー、デプロイ プロセス、データ、さらにはオペレーティング システムやブート シーケンスなどの下位スタック コンポーネントの改ざんを防ぐ制御を実装することです。 整合性の欠如は、機密性と可用性の侵害につながるかもしれない脆弱性をもたらす可能性があります。
サンプル シナリオ
Contoso Paint Systems は、工業用スプレー塗装機用の蒸気検出および換気制御システムを作成しています。 このシステムは、環境への影響を報告する目的で大気質データを自動的にキャプチャするためにも使用されます。 会社は、塗装ブースすべてに配置された IoT デバイスをサポートするクラウドベースのアプリケーションを所有しています。 アプリケーションのオンプレミス コンポーネントは、Azure Stack HCI とカスタム IoT デバイス上で実行されます。 システムはプロトタイプの初期段階にあり、ワークロード チームは 1 年以内に実稼働バージョンをリリースすることを計画しています。
サプライ チェーンを保護する
脆弱性に対する防御を継続的に行い、サプライ チェーン内の脆弱性を検出して、攻撃者がソフトウェア フォールトをインフラストラクチャ、ビルド システム、ツール、ライブラリ、その他の依存関係に注入するのを防ぎます。 脆弱性のスキャンはビルド時と実行時に行う必要があります
ソフトウェアの起源を知り、ライフサイクル全体でその信頼性を検証することで、予測可能性が高まります。 脆弱性を事前によく把握しておくことで、脆弱性を予防的に修復し、運用環境でシステムを安全に保てるようにします。
"Contoso の課題"
- エンジニアリング チームはビルドとリリースのパイプラインを実装していますが、ビルド システムの整合性への対処はまだ行っていません。
- チームは、ファームウェアとクラウド コンポーネントの両方で、いくつかのオープンソース ソリューションを使用することを選択しました。
- チームは、どのようにしてサプライ チェーンの侵害や悪意のある内部関係者がコードを破損させ、後にシステムを中断させたりデータを流出させたりするためにそのコードが使用される可能性があるかについての知識を持っています。 顧客の環境レポートが、結果的にレポートの失敗や監査で見つかる誤った表記につながるような形で影響を受けた場合、Contoso とその顧客への影響は壊滅的となる可能性があります。
"アプローチの適用と結果"
- チームは、ファームウェアとバックエンド クラウド システムの両方のビルド プロセスを変更し、依存関係内の既知の共通脆弱性識別子 (CVE) について警告するためのセキュリティ スキャン手順を含めるようにします。 さらに、コードとパッケージのマルウェア スキャンも含めるようにします。
- また、Windows Defender アプリケーション制御など、Azure Stack HCI で実行できるマルウェア対策オプションについても確認します。
- これらの対策は、このソリューションの一部としてデプロイされるファームウェアとソフトウェアは予期しないアクションを実行して、システムの整合性や顧客の環境レポート要件に影響を与えることはないという自信を強めるのに役立ちます。
強力な暗号化メカニズムを使用する
コード署名、証明書、暗号化などの暗号技術を使用することで、信頼を確立し検証を行います。 信頼できる解読を許可することで、これらのメカニズムを保護します。
このアプローチを採用することで、データの変更またはシステムへのアクセスが信頼できるソースによって検証されていることがわかります。
たとえ暗号化されたデータが転送中に悪意のあるアクターによって傍受されたとしても、アクターはコンテンツのロックを解除したり解読したりすることはできません。 デジタル署名を使用すると、データが送信中に改ざんされていないことを確認できます。
"Contoso の課題"
- センシングとデータ転送用に選択されたデバイスは、現在、HTTPS はもちろんカスタムの暗号化をサポートするための十分な処理能力さえ備えていません。
- ワークロード チームは、主要な分離手法としてネットワーク境界を使用することを計画しています。
- リスク分析レビューでは、IoT デバイスと制御システム間の暗号化されていない通信が改ざんにつながる可能性があり、ネットワークのセグメント化では十分ではないことが示されました。
"アプローチの適用と結果"
- チームは、カスタム IoT デバイスの製造元と協力して、証明書ベースの通信だけでなく、チップ上でのコード署名検証もサポートする、より高性能なデバイスを使用して、署名されたファームウェアのみが実行されるようにすることを決断します。
バックアップのセキュリティを最適化する
データがレプリケートまたは転送される際には、バックアップ データが不変で暗号化されていることを確認します。
このアプローチを採用することで、バックアップ データは保存時に誤ってまたは悪意を持って変更されてはいないという自信をもってデータを復旧できます。
"Contoso の課題"
- 毎月、環境保護庁の排出量レポートが生成されますが、これらのレポートを提出する必要があるのは年に 3 回だけです。
- レポートは生成された後に送信が必要になるまで Azure Storage アカウントに保存されます。 これは、レポート システムで障害が発生した場合のバックアップとして行われます。
- バックアップ レポート自体は暗号化されませんが、HTTPS 経由でストレージ アカウントに転送されます。
"アプローチの適用と結果"
- セキュリティ ギャップ分析を実行した後、チームはバックアップを暗号化せずに残すことは、対処すべきリスクであると見なします。 チームは、レポートを暗号化し、それを Azure Blob Storage のライトワンス リードメニー (WORM) 不変ストレージ オプションに保存することで、リスクに対処します。
- この新しいアプローチにより、バックアップの整合性の維持が保証されます。
- 追加の整合性に関する対策として、プライマリ データ ソースでの改ざんを検出するために、メイン システムから生成されたレポートは、信頼できるバックアップと SHA ハッシュを比較するようになりました。