セクションを選択

ソフトウェア・サプライチェーンのセキュリティとは

URL をコピー

ソフトウェア・サプライチェーンのセキュリティは、リスク管理とサイバーセキュリティのベストプラクティスを組み合わせて、ソフトウェア・サプライチェーンを潜在的な脆弱性から保護します。ソフトウェア・サプライチェーンは、アプリケーション開発から CI/CD パイプライン、デプロイメントまで、ソフトウェア開発ライフサイクル (SDLC) においてコードに関わるすべてのものや人で構成されています。 

サプライチェーンには、コンポーネント (インフラストラクチャ、ハードウェア、オペレーティングシステム (OS) 、クラウドサービスなど)、それらを書いた人、レジストリ、GitHub リポジトリ、コードベース、その他のオープンソース・プロジェクトなどのソースなど、ソフトウェアに関する情報のネットワークが含まれます。また、ソフトウェアのセキュリティに悪影響を及ぼす可能性のある脆弱性も含まれるため、そこで出番となるのが、ソフトウェア・サプライチェーンのセキュリティです。  

 

ソフトウェア・サプライチェーンの構成要素に対するあらゆるリスクが、そのサプライチェーンの構成要素に依存するすべてのソフトウェア・アーティファクトに対する潜在的リスクとなります。ハッカーはマルウェアやバックドアなどの悪意のあるコードを挿入し、あらゆるコンポーネントとその関連サプライチェーンを危険にさらします。ソフトウェア・サプライチェーンに対する攻撃は、一般的に営利目的の脅威行為者や国家的行為者によって行われることが多く、デジタルと物理の世界の両方に劇的な影響を与える可能性があります。これらは、一般的に 4 種類のリスクのいずれかに分類されます。

  • 脆弱性:ソフトウェアのコードに存在する欠陥のことで、これが悪用されることにより侵害が起きます。このリスクを最小化するために、ソフトウェア・アーティファクトのパッチとアップデートを行います。
  • ライセンス:構築したソフトウェア・アーティファクトをオープンソース化し、特許権を無効にすることを義務付けられる可能性のある法的リスクです。この分野の法律の専門家にご相談ください。
  • サードパーティへの依存:ソフトウェア・サプライチェーンの一部として、外部の組織に依存しているもので、把握が困難です。すべてのサードパーティコードを分析し、サプライヤーがどのように保護しているかについて聞くと良いでしょう。
  • プロセスやポリシー:確立されていない場合に問題となります。開発者のためのポリシーと、脆弱性に対応するためのプロセス (またはプレイブック) を作成します。

一般的な攻撃経路は、アップデートの乗っ取り、コード署名の弱体化、オープンソースコードの侵害などです。 

DevSecOps は、文化、自動化、およびソフトウェア設計へのアプローチであり、IT ライフサイクル全体を通じてセキュリティを共有責任として統合します。DevSecOps とは、アプリケーションとインフラストラクチャのセキュリティを、開始時点から考慮することです。また、DevOps ワークフローの速度が低下しないよう、一部のセキュリティゲートを自動化することも必要です。セキュリティ機能を搭載した統合開発環境 (IDE) を全員で使用するなど、継続的にセキュリティを統合するための適切なツールを選択すると、このような目標を達成しやすくなります。

Red Hat Advanced Cluster Security for Kubernetes は、セキュリティチェックをソフトウェア・サプライチェーンと開発者ワークフローに統合し、リスクの高いセキュリティ問題を検出して修正できるようにします。また、開発者に既存のワークフローでセキュリティコンテキストを提供することにより、DevOps でのセキュリティを自動化します。 

ソフトウェア・サプライチェーンは、コードに関わるべての人々で構成されていますが、アプリケーション・セキュリティは、コードそのものを攻撃や脆弱性から保護するものです。ソフトウェア・サプライチェーンのセキュリティと同様に、アプリケーション・セキュリティも開発の各段階で適用される必要があります。 

アプリケーション・セキュリティは、ソフトウェア開発ライフサイクルに始まり、システムに対する不正アクセスの防止や専有データの保護を目標に、アプリケーション・ライフサイクル全体を通じて拡張されています。サプライチェーンの整合性を強化することは、ひいてはアプリケーションの安全性を高めることにつながります。攻撃者がアプリケーションを危険にさらさないようにするための方法には、設定の強化、攻撃対象の最小化、権限の制限、ソフトウェアの署名、システムのさまざまな部分へのビルドの分散などがあります。 

ソフトウェア・サプライチェーンのセキュリティは、組織、顧客、そしてオープンソースのコントリビューションに依存するすべての組織にとって重要です。どの組織も侵害されることを望んでいませんし、また他の組織が同様の事象に遭遇した場合の原因にもなりたくありません。そのために重要なのが、ソフトウェア・サプライチェーンを保護することです。  

以下は、セキュリティチームが考慮すべきセキュリティ・ベストプラクティスの概要です。

  • サプライチェーン全体のリソース (開発者ツール、ソースコードレポジトリ、その他のソフトウェアシステムなど) に対して最小権限のアクセスを付与し、多要素認証を有効にし、強力なパスワードを使用します。
  • 従業員へのセキュリティ教育を定期的に実施します。
  • 接続されたすべてのデバイスと機密データのセキュリティを強化します。
  • 一次サプライヤーから順に、サプライヤーとその取引先を把握します。リスクアセスメントを実施し、各サプライヤーのサイバーセキュリティ態勢と脆弱性に関する公共政策を評価します。
  • 脆弱性のあるシステムを定期的にスキャンし、パッチを適用します。

また、セキュアコーディングの実践、ロックファイルの使用など、セキュリティに重点を置いた取り組みも検討する必要があります。

  • チェックサムの検証を行います。
  • ソース制御にベンダーの依存関係を含めます。
  • ソフトウェア部品表 (SBOM) を発行し、利用します。
  • 以下を含む SLSA (Supply-chain Levels for Software Artifacts) を採用します。
    • ソフトウェア・アーティファクトにデジタル署名を付与し、出所を認証する機能。
    • プロセスやポリシーに自動化を活用。
  • ソフトウェア・コンポジション分析 (SCA)、静的アプリケーション・セキュリティ・テスト (SAST)、動的アプリケーション・セキュリティ・テスト (DAST) などの自動セキュリティテストツールで、ソフトウェアをスキャンします。

Red Hat はソフトウェアコンポーネントと依存関係をソフトウェア開発ライフサイクルの早期段階でセキュリティ保護する必要性を理解しており、DevSecOps プラクティスを通じてあらゆる段階でセキュリティの統合を自動化します。アップストリームのサプライチェーンを理解するプロセスを Red Hat にお任せください。お客様が信頼してビジネスを 24 時間 365 日委ねることができる製品をご提供します。Red Hat とパートナーは、専門知識、包括的な DevSecOps エコシステム、お客様がソフトウェア開発ライフサイクル全体にソフトウェア・サプライチェーン・セキュリティを実装できるよう支援する能力を提供します。

関連資料

記事

DevSecOps とは

DevOps によるアジリティと応答性を存分に利用したいのであれば、アプリケーションのライフサイクル全体を通じて重要な役目を果たす IT セキュリティが不可欠です。

記事

クラウドセキュリティの特徴とは

高度なセキュリティ問題は、従来の IT システムとクラウドシステムの両方に影響します。クラウドセキュリティの特徴をご覧ください。

記事

SOAR とは

SOAR とは、セキュリティチームが使用する 3 つの主要なソフトウェア機能を指します。すなわち、ケースおよびワークフロー管理機能、タスクの自動化機能、および脅威インテリジェンスへのアクセス、クエリ、共有を一元化する手段が含まれます。

セキュリティの詳細はこちら

製品

ユーザーの ID を管理し、通信の機密性維持を支援するセキュリティ・フレームワーク。

クラウドネイティブ・アプリケーションのより安全な構築、デプロイ、実行を可能にする、エンタープライズ向けの Kubernetes ネイティブのコンテナ・セキュリティ・ソリューション。

Red Hat インフラストラクチャのセキュリティ、パフォーマンス、可用性に対する脅威の特定と修復に役立つ予測分析サービス。

Kubernetes クラスタとアプリケーションを制御する、セキュリティポリシーを組み込んだ単一のコンソール。

リソース