フルライフサイクルのソフトウェアサプライチェーンセキュリティを発表 #aqua #セキュリティ #サプライチェーンセキュリティ
この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。
本ブログは「Aqua Security」社の技術ブログで2022年9月20日に公開された「 Announcing Full Lifecycle Software Supply Chain Security 」の日本語翻訳です。
フルライフサイクルのソフトウェアサプライチェーンセキュリティを発表
ソフトウェアサプライチェーン攻撃は、単一の共有リソースを攻撃することで、複数のターゲットに影響を及ぼし、大きな影響を与えます。そして、この種の攻撃は増加の一途をたどっています。Aqua の調査では、前年比で 300% 増加しています。
米国では、この問題は非常に重要であり、バイデン政権は、ソフトウェアサプライチェーンのセキュリティと整合性に焦点を当て、安全なソフトウェア開発環境の重要性を強調する大統領令14028を発行しました。しかし、この問題は世界的な問題であり、ソフトウェアサプライチェーンの攻撃から組織を守るには、ソフトウェア開発のライフサイクル全体にわたって総合的に機能し、動的で拡張性のある、常に更新されるソリューションが必要です。
そのため、本日はクラウドネイティブセキュリティの進化における重要な節目を迎えることになります。私たちは、最初で唯一のフルライフサイクルソフトウェアサプライチェーンセキュリティソリューションである Aqua Software Supply Chain Security を発表します。ソフトウェア開発ライフサイクルのあらゆる段階(コーディング、ビルド、テスト、デプロイ、ランタイム)を通じて、開発者、DevOps エンジニア、セキュリティチームは、クラウドネイティブアプリケーションで使用されるすべての成果物を完全に可視化し、開発の初期段階からセキュリティが統合可能になりました。
コードベースに導入されたオープンソースコードに起因するリスクを評価、監視できます。CI/CD パイプラインを通過するビルド成果物の整合性を自動的に検証し、意図されたコードのみが本番環境に導入されるようにできます。CI/CD ツール自体のセキュリティ状態を監視し、セキュリティ管理が回避されていないことを確認できます。また、アプリケーションの運用開始後に発見された新しい脆弱性については、問題が存在するコードの行まで実行時に遡って追跡することで、迅速に修正できます。
これは、ソフトウェアのサプライチェーン全体にわたる可視性と制御のレベルであり、以前は単に存在しなかったものです。
この成果は、昨年 Argon Security 社を買収した際に掲げたビジョンを実現するものです。ソフトウェアサプライチェーンの保護に焦点を当てた Argon は、Aqua が Cloud Native Application Protection Platform(CNAPP)に追加すべき不可欠な機能です。この機能により、お客様は ソフトウェアサプライチェーンで最も多発する、クラウドネイティブアプリケーションへの攻撃を阻止できるようになりました。この2つのソリューションが完全に統合されたことで、クラウドネイティブアプリケーションのセキュリティに注力するすべての人に、総合的な保護という共通の価値を提供できるようになったのです。この1つのソリューションで、悪意のあるコードや脆弱なコードの侵入、脆弱な依存関係や成果物を注入するビルドパイプラインの操作、アプリケーションのビルドとデプロイに使用するツールの侵害など、ソフトウェアサプライチェーンの重要な攻撃ベクトルをすべてカバーします。
これらすべてを可能にするため、Aqua Software Supply Chain Security には注目すべきいくつかの革新的な機能があります。
Aqua Trivy Premium によるユニバーサルコードスキャン
ソースコードは、アプリケーションの最大の攻撃対象です。ソースコードは、何百万行ものコードと複雑な外部依存関係で構成されていることがあり、コードを信頼するためには、変更のたびにそのすべてを検証する必要があります。
Trivy は、現在使用されている最も高性能で最も人気の高いクラウドネイティブセキュリティスキャナーであり、Aqua Software Supply Chain Security の不可欠な要素です。Trivy は、脆弱性のスキャンに加えて、コード、オープンソースライセンス、機密データなど、インフラストラクチャの設定ミスもスキャンします。また、Aqua Platform のデフォルトのスキャンエンジンである Trivy Premium は Trivy Open Source を拡張し、マルウェア検出やより正確なスキャン結果を得るための脅威インテリジェンス機能を含みます。
プラットフォーム全体で Trivy を使用することで、ソフトウェア開発ライフサイクルのどこでスキャンしても、コード、コンテナイメージ、その他のビルド成果物から一貫したスキャン結果を得られます。コーディング段階で問題をスキャンすることのメリットは、コードが導入される際に脆弱性やその他のリスクを特定するために、セキュリティをさらにシフトレフトできることです。これにより、アプリケーションのセキュリティが向上し、ソフトウェア開発全体のコストが大幅に削減されます。
ワークフロー内のアラート
開発者の生産性を維持し、問題が効率的に解決される確率を高めるために、Aqua は開発者と DevOps に既存のワークフローにおける問題を警告するための緊密なフィードバックループを維持します。例えば、Aqua は SCM(ソースコード管理)ツールのプルリクエストにコメントを書き込んだり、問題が発見されたときに CI ツールのセキュリティゲートを適用できます。
オープンソースのヘルスケア
事実上、すべてのコードベースには少なくとも1つのオープンソースコンポーネントが含まれており、コードベース全体の 70% がオープンソースで構成されています。これらのオープンソースパッケージは、他人のコードであり、あなたの組織にとって未知のレベルのリスクとなります。古いオープンソースリソースは、残念ながらよくあることです。ある調査によると、レビューされたコードベースの 85% に、4年以上前のオープンソースコードが含まれていました。さらに悪いことに、ほとんどの場合、オープンソースは盲目的に信頼され、セキュリティレビューがほとんど行われていません。
Aqua は、開発者がオープンソースを活用しながら、危険なプロジェクトから組織を保護するのに役立ちます。オープンソースプロジェクトの潜在的なリスクを評価し、どのような種類と品質のオープンソースプロジェクトをコードベースに導入できるかについてのポリシーを定義して、適用することができます。
リスクの高いオープンソースコードがコードベースに混入するのを防ぐことは、既知および未知の脆弱性が製品へ到達する前に捕捉し、ソフトウェアサプライチェーン攻撃のリスクを減らすための優れた方法です。
次世代型ソフトウェア部品表(SBOM)
ソフトウェアの作成プロセスは複雑で、自動化や依存関係で溢れており、あるリリースに対して何が起こったのかを正確に理解することは、非常に困難になっています。しかし、その作成の全容を知らなければ、ソフトウェアの品質とセキュリティのレベルを判断することはほぼ不可能です。
Aqua を使用すると、ソフトウェア部品表(SBOM)と、構築されたすべての成果物に対するセキュリティマニフェスト全体を生成することができ、ソフトウェア開発ライフサイクル全体を通して信頼を確立し、維持することができます。
マニフェストには、成果物が使用するすべてのパッケージとライセンス、およびそれぞれのリスクレベルが詳細に記載されています。また、ソースからすべてのコミット、ビルドの詳細、最終的な成果物のプロパティを通じて、成果物の軌跡をマッピングします。さらに、成果物が通過したセキュリティチェックを、通過/失敗ごとに区別して表示できます。
最後に、マニフェストを使用して、開発インフラストラクチャのセキュリティ状態と、成果物を作成するために使用したツールの構成を検証できます。そして、この情報を使用して整合性ゲートを実装および維持し、コードがビルドパイプラインを通過する際に改ざんまたは変更されていないことを保証できます。
パイプラインのセキュリティを自動化
ビルドプロセスは、おそらくソフトウェア開発のライフサイクルの中で最も繊細な部分です。サービスの新バージョンをコンパイルする手順は、コードに新しい変更を加える最後のポイントになります。また、ビルドは一連の自動化技術を使用して行われるため、手動での操作はほとんど必要ありません。このため、サプライチェーンの中で最も見通しが悪く、安全が確保しにくい部分となっています。
Aqua では、ポリシーを実装して、パイプラインを通過するものを自動的に制御できます。それぞれの新しい成果物が問題ないかスキャンされ、署名が必要であることを確認してから、次のパイプライン操作に進めるようにします。
CI/CD ポスチャマネジメント
ソフトウェアのサプライチェーンについて考えるとき、多くの人はコードだけを考えます。しかし、実際には、悪意ある攻撃者は、ビルドツール自体を含むソフトウェアサプライチェーンのあらゆる所を利用します。
Aqua Software Supply Chain Security を使用すれば、DevOps ツールの危険な設定ミスを容易に発見し、修正できます。Aqua の設定推奨事項を SCM および CI/CD ツールで使用することにより、ゼロトラストな DevOps 環境を確立し、開発およびインフラを含むソフトウェアサプライチェーンプロセスが強固であることを保証できます。
Aqua は最小特権アクセスを強制するため、ソフトウェア開発ライフサイクル全体にわたって権限周りを簡単に監査し、どのユーザがコードリポジトリ、CI パイプライン、または成果物レジストリにアクセスできるかを検出できます。また、職務分掌やその他のベストプラクティス、コンプライアンスフレームワークの導入により、セキュリティリスクを低減し、お客様の要件を満たすことができます。
まとめ
多くの企業は、ソフトウェアサプライチェーン攻撃への対応策を全く持っていないのが現状です。また、差し迫ったニーズを満たすために、複数のツールを組み合わせている企業もあります。ソフトウェアサプライチェーンセキュリティの分野は比較的新しく、急速に発展しています。そのため、Aqua Platform のような全体的なソリューションを採用することで、コンプライアンス要件や攻撃手法の進化に柔軟に対応しながら、今日の保護を担保できるのです。
次のステップへ
ソフトウェアサプライチェーンセキュリティポスチャの無料評価(限定版)を受けて、トップリスクの低減に今すぐ着手してください。また、クラウドベースの DevOps ツールとわずか数クリックで統合でき、自己管理ツールとの統合オプションも備えた SaaS 型サービスの無料トライアルを開始することも可能です。
私たちは、ソフトウェアサプライチェーンを保護し、クラウドネイティブな攻撃が組織に影響を及ぼすのを阻止するお手伝いをします。