コード セキュリティ

クラウドネイティブアプリケーション開発はペースが速く複雑です。セキュリティチームがこのペースに追従するのは困難な場合があります。しかし、DevOpsのいくつかのベストプラクティスを採用し、コードからクラウドまでカバーするアプリとインフラのセキュリティを自動化によって実現することで、チームのプレッシャーを軽減できる可能性があります。

IaC (Infrastructure as Code)セキュリティの現状に関するUnit 42の最新レポートをご覧ください

1

俊敏な開発には、構築時のセキュリティの自動化が必要

従来のセキュリティレビューは、俊敏な開発手法を滞らせ、ビジネスを停滞させます。ペースを維持しながら修正を促進するには、プルリクエストや継続的なインテグレーション構築からレジストリ、ランタイムにいたるまで、開発ライフサイクル全体にセキュリティを組み込む必要があります。

2

クラウドネイティブアーキテクチャには専用のツールが必要

Infrastructure as Code (IaC)、オープンソースソフトウェア(OSS)、マイクロサービスを利用すると、開発者チームは各サービスに最適なツール、言語、クラウドを使用できます。しかし、セキュリティチームがすべてのコンポーネントに精通することは不可能です。そのため、デプロイ前に脆弱性、設定ミス、公開シークレットを検出する自動化されたセキュリティツールが欠かせません。

3

コードセキュリティツールのサイロ化により、業務負荷が悪化

構築時と実行時のセキュリティを統合すると、一貫性のあるフィードバックがチーム間で共有されるようになります。しかし、チームに必要なものはそれだけではありません。脆弱性、設定ミス、依存関係、公開シークレット、ネットワークコンテキストを総合し、誤検出の最小化、重大脅威の優先、コードからクラウドに至るリスク軽減を可能にする統合ツールが必要です。

弊社のコードセキュリティアプローチ

Infrastructure as Codeのスキャン

Infrastructure as Codeでは、本番環境に導入する前に、クラウドインフラストラクチャをコードの状態で保護できます。Prisma Cloudは、自動化を使用し、Terraform、CloudFormation、Kubernetes、Dockerfile、Serverless、およびARMテンプレート用にDevOpsツールのワークフローにセキュリティを組み込むことで、ソフトウェア開発ライフサイクル全体のセキュリティを簡素化します。

コードのクラウドセキュリティスキャンを自動化
ソフトウェア開発ライフサイクルの各段階に設定ミスと公開シークレットの自動チェックを追加します。
オープンソースとコミュニティの力を活用
CheckovはPrisma CloudのIaCセキュリティの中核を担うオープンソースの代表的なPolicy as Codeツールです。活発なコミュニティに支えられており、ダウンロード数は数百万回にのぼります。
コードセキュリティのフィードバックを開発ツールに直接提供
Prisma CloudはIDE、VCS、CI/CDツールとネイティブに統合されており、開発者が既存のワークフローを通じて安全なコードを提供できます。
設定ミスの詳細なコンテキストを組み込む
Prisma CloudはIaCリソースの依存関係と開発者による最新の修正を自動的に追跡し、大規模チームのコラボレーションを改善します。
自動化されたフィードバックとコード内の修正を提供する
検出した設定ミスに対する修正とSmart Fixのプルリクエストとコミットを自動化するほか、設定ミスのプルリクエストコメントも自動化します。

詳細

コンテナイメージのスキャン

コンテナイメージは、クラウドネイティブアプリケーションの主要なコンポーネントです。しかしコンテナイメージには、通常、オペレーティングシステムや構成など、開発者がコントロールできない多くのリソースが含まれています。Prisma Cloudを利用すると、脆弱性、コンプライアンス違反、公開シークレットのコンテナイメージへの混入を防ぐガードレールを実装できます。

コンテナイメージ内の脆弱性を特定する
twistcliを使用して、コンテナイメージレイヤーに組み込まれたオペレーティングシステムやオープンソースパッケージの脆弱性を特定します。
修正ステータスと修正ガイダンスを提供する
更新パッケージの優先順位をつけるために、修正ステータス、修正対象となる最小バージョン、修正プログラムがリリースされてからの経過時間を、開発者に伝えます。
重大度レベルに基づいて脆弱性を警告またはブロックする
脆弱性のあるイメージで重大度レベル要件を満たさないと本番環境へプッシュする前にイメージをブロックするガードレールを追加します。
コード内のコンテナのコンプライアンスを実現する
コンテナイメージの依存関係と設定が、CISなどの一般的なベンチマークに違反していないか、また構築時にマルウェアなどの独自の問題が発生していなかをチェックします。
コンテナイメージの信頼性を確保する
ビルド時のスキャン、コンテナに含まれる公開シークレットの検出、信頼できるレジストリの利用によってイメージを堅牢化し、コンテナイメージのサプライチェーンのセキュリティを確保します。
ソフトウェア開発ライフサイクル全体での統合
よく使用されるCI/CDツール、VCS、レジストリにセキュリティのフィードバックとガードレールを組み込みます。

詳細

Policy as Code

従来のセキュリティテストは個々の組織が個々のツールを使用して実施するため、管理がサイロ化され、再現が難しくなっています。Prisma CloudではPolicy as Codeを提供するため、制御がコードに組み込まれます。これにより、制御の再現、バージョン管理、ライブコードリポジトリに基づいたテストができます。

コードを使用してポリシーを構築し管理する
IaCテンプレート用に、PythonとYAMLで、チェックリスト、スキップリスト、グラフベースのカスタムポリシーを定義、テスト、バージョン管理します。
アカウントとエージェントをコードで導入および設定する
Terraformを使用して、アカウントのオンボーディング、エージェントの導入、ランタイムポリシーの設定(OpenAPIファイルやSwaggerファイルに基づく取り込みや保護など)を行います。
設定ミスに対する標準ポリシーとカスタムポリシーを活用
Prisma Cloudにはコード上で構築された数百種類のカスタムポリシーが標準搭載されています。また、クラウドリソースやIaCテンプレート用のカスタムポリシーを追加することも可能です。
作成中のコードに直接フィードバックを提供する
IaCテンプレートには、自動修正、プル/マージリクエストコメント、およびプル/マージリクエストの自動修正によるフィードバックが直接含まれます。

詳細

サプライチェーンセキュリティ

クラウドネイティブなソフトウェアサプライチェーンが攻撃の標的になる事例が増加しています。攻撃の狙いはコードやシークレットへの不正アクセスであり、不正なコードのインジェクションやデータ流出に悪用されます。Prisma Cloudはサプライチェーンのコンポーネントを可視化するほか、バージョン管理システム(VCS)とCI/CDパイプラインの体制も可視化します。また、視覚的に攻撃対象領域を把握することで、ベストプラクティスに沿った形でパイプラインの安全を確保できます。

サプライチェーンの視覚化
サプライチェーン図はサプライチェーンの構成要素の一覧を分かりやすく可視化したものであり、攻撃対象領域の把握と保護に役立ちます。
ベストプラクティスに沿ったVCS設定
バージョン管理システム(VCS)の体制を自動管理し、支社保護などのセキュリティベストプラクティスを確実に適用します。
イメージポイズニング攻撃を阻止
Prisma Cloudのイメージスキャン機能とコンテナサンドボックス分析機能を利用して不正なイメージを検出・ブロックし、承認済みの信頼できるイメージだけをデプロイします。
ソフトウェア部品表(SBOM)の生成
アプリケーションのリスクを追跡・把握するためのSBOMレポートを生成します。レポートにはオープンソースパッケージ、ライブラリ、IaCリソースのほか、関連するセキュリティ問題が含まれます。

詳細

シークレットセキュリティ

悪質なアクターは、わずかな時間で、オンラインで公開されている認証情報を見つけて悪用します。Prisma Cloudを使用すると、本番稼働前に機密情報を特定します。シグネチャとヒューリスティクスを使用して、構築時に開発環境のIaCテンプレートとコンテナイメージの機密情報を見つけて削除します。

ほとんどのファイルタイプからシークレットを検出
IaCテンプレート、ゴールデンイメージ、Gitリポジトリ設定に含まれるパスワードとトークンを検出します。
開発ツールに含まれるシークレットを検出
IDE、CLI、プレコミット、CI/CDツールを介して開発コードに含まれるハードコードされたシークレットを早期検出します。
多面的なシークレットスキャン
正規表現、キーワード、または微調整されたエントロピーに基づく識別子を利用し、一般的なシークレットもそうでないシークレットも検出します。

詳細

ソフトウェア構成分析

現代のアプリケーションコードの大部分はオープンソースの依存関係から構成されます。どのような依存関係を実際に利用しているかを意識せず、互換性を破る変更の適用をためらっていると、脆弱性が修正されません。Prisma Cloudは開発ツールとの統合を通じてオープンソースパッケージと依存関係ツリー全体から脆弱性を検出します。また、きめ細かく柔軟なバージョンアップにも対応しています。

業界トップクラスの情報源を活用し、完全オープンソースのセキュリティに自信を
Prisma Cloudは所在を問わずオープンソースの依存関係をスキャンし、NVDなどのパブリックデータベースやPrisma Cloud Intelligence Streamと比較して脆弱性を検出します。
依存関係の深度を問わず、コンテキストを考慮して脆弱性を検出
Prisma Cloudはパッケージマネージャーのデータを取り込んで依存関係ツリーを最深部まで推定します。さらに、インフラとアプリケーションのリスクを関連付け、修復の優先度を迅速に判定します。
開発ライフサイクル全体にオープンソースセキュリティを統合
IDEとVCSのプル/マージリクエストを通じてリアルタイムに脆弱性を開発者にフィードバックし、脆弱性のしきい値に基づいてビルドを阻止します。これにより、クラウドネイティブ環境の安全を先手で維持できます。
互換性を破る変更を回避しながら問題を修正
重要機能が動作しなくなるリスクを回避しつつ、直接/推移的依存関係に含まれる脆弱性の修正に必要な最低限の更新を提案します。また、パッケージごとにバージョンを細かく選択できる柔軟性を有し、複数の問題を一度に修正できます。

詳細

OSSライセンスのコンプライアンス

すべての企業には、オープンソースライセンスの独自の利用規定があります。手作業でコンプライアンスレビューを実施した結果、要件を満たさないオープンソースライブラリが発見されるのでは遅すぎます。Prisma Cloudは依存関係のオープンソースライセンスをカタログ化し、カスタマイズ可能なライセンスポリシーを基にデプロイを警告またはブロックできます。

コストのかかるオープンソースライセンス違反を回避する
オープンソースパッケージのライセンスに違反する場合にフィードバックを早期に行いビルドをブロックします。しかも、すべての主要言語とパッケージマネージャーに対応しています。
gitおよび非gitのリポジトリをスキャンして問題を特定する
Prisma CloudはGitHubやBitbucketなどのバージョン管理システムとネイティブに統合されています。また、コマンドラインツールを用いて任意のタイプのリポジトリをスキャンすることも可能です。
デフォルトのルールを使用したり、アラートやブロックをカスタマイズする
コピーレフトライセンスや利用自由なライセンスの社内要件を満たすように、ライセンスタイプに基づいてアラートとブロックしきい値を設定します。

詳細

コードセキュリティモジュール

IaCセキュリティ

開発ワークフローに組み込まれた自動IaCセキュリティ

詳細

ソフトウェア構成分析(SCA)

コンテキストを考慮した非常に正確なオープンソースセキュリティとライセンス準拠

詳細

ソフトウェアサプライチェーンセキュリティ

ソフトウェアコンポーネントとパイプラインをエンドツーエンドで保護

詳細

シークレットセキュリティ

リポジトリとパイプラインに対するフルスタックの多面的なシークレットスキャン。

詳細

主なリソース

役立つコードセキュリティ関連資料

すべてのリソースを表示

動画

DevSecOpsでのPrisma Cloud利用

今すぐ視聴

データシート

コードセキュリティ

ダウンロード

アナリストレポート

GigaOm Radar for Policy as Code

レポートをダウンロード

ブログ

DevOpsライフサイクルを通じたセキュリティ対策

ブログを読む

ホワイトペーパー

シフトレフトセキュリティチェックリスト

ダウンロード

概要

コードセキュリティ

ダウンロード

顧客事例

ライフサイクル全体をカバーしたPrisma Cloudのフルスタック保護を活用しているPokemon社、Sabre社、ElevenPaths社の事例。

クラウドセキュリティの基本

DevSecOpsのトレンドを学び、開発者、業界リーダー、セキュリティ専門家から有益なヒントを得る。

ブログの最新記事

まずはKubernetesクラスタを考慮したコンテナセキュリティの記事をご覧ください。各種深掘り記事も掲載しております。

コード セキュリティ

IaC (Infrastructure as Code)セキュリティの現状に関するUnit 42の最新レポートをご覧ください

俊敏な開発には、構築時のセキュリティの自動化が必要

クラウド ネイティブ アーキテクチャには専用のツールが必要

コード セキュリティ ツールのサイロ化により、業務負荷が悪化

6つの重要ルールでクラウド セキュリティをシフトレフトしてサイロ化の解消と最大限の効率化を達成。

最新アーキテクチャとソフトウェア サプライチェーンをすべてカバーするコード セキュリティを1つのツールで。

弊社のコード セキュリティ アプローチ

Infrastructure as Codeのスキャン

コードのクラウド セキュリティ スキャンを自動化

オープン ソースとコミュニティの力を活用

コード セキュリティのフィードバックを開発ツールに直接提供

設定ミスの詳細なコンテキストを組み込む

自動化されたフィードバックとコード内の修正を提供する

コンテナ イメージのスキャン

コンテナ イメージ内の脆弱性を特定する

修正ステータスと修正ガイダンスを提供する

重大度レベルに基づいて脆弱性を警告またはブロックする

コード内のコンテナのコンプライアンスを実現する

コンテナ イメージの信頼性を確保する

ソフトウェア開発ライフサイクル全体での統合

Policy as Code

コードを使用してポリシーを構築し管理する

アカウントとエージェントをコードで導入および設定する

設定ミスに対する標準ポリシーとカスタム ポリシーを活用

作成中のコードに直接フィードバックを提供する

サプライチェーン セキュリティ

サプライチェーンの視覚化

ベストプラクティスに沿ったVCS設定

イメージ ポイズニング攻撃を阻止

ソフトウェア部品表(SBOM)の生成

シークレット セキュリティ

ほとんどのファイル タイプからシークレットを検出

開発ツールに含まれるシークレットを検出

多面的なシークレット スキャン

ソフトウェア構成分析

業界トップクラスの情報源を活用し、完全オープン ソースのセキュリティに自信を

依存関係の深度を問わず、コンテキストを考慮して脆弱性を検出

開発ライフサイクル全体にオープン ソース セキュリティを統合

互換性を破る変更を回避しながら問題を修正

OSSライセンスのコンプライアンス

コストのかかるオープン ソース ライセンス違反を回避する

gitおよび非gitのリポジトリをスキャンして問題を特定する

デフォルトのルールを使用したり、アラートやブロックをカスタマイズする

コード セキュリティ モジュール

IaCセキュリティ

ソフトウェア構成分析(SCA)

ソフトウェア サプライチェーン セキュリティ

シークレット セキュリティ

役立つコード セキュリティ関連資料

DevSecOpsでのPrisma Cloud利用

コード セキュリティ

GigaOm Radar for Policy as Code

DevOpsライフサイクルを通じたセキュリティ対策

シフトレフト セキュリティ チェックリスト

コード セキュリティ

顧客事例

クラウド セキュリティの基本

ブログの最新記事

最新ニュース、イベント情報、脅威アラートを配信

人気のあるリソース

法定通知

アカウント

コードセキュリティ

クラウドネイティブアーキテクチャには専用のツールが必要

コードセキュリティツールのサイロ化により、業務負荷が悪化

6つの重要ルールでクラウドセキュリティをシフトレフトしてサイロ化の解消と最大限の効率化を達成。

最新アーキテクチャとソフトウェアサプライチェーンをすべてカバーするコードセキュリティを1つのツールで。

弊社のコードセキュリティアプローチ

コードのクラウドセキュリティスキャンを自動化

オープンソースとコミュニティの力を活用

コードセキュリティのフィードバックを開発ツールに直接提供

コンテナイメージのスキャン

コンテナイメージ内の脆弱性を特定する

コンテナイメージの信頼性を確保する

設定ミスに対する標準ポリシーとカスタムポリシーを活用

サプライチェーンセキュリティ

イメージポイズニング攻撃を阻止

シークレットセキュリティ

ほとんどのファイルタイプからシークレットを検出

多面的なシークレットスキャン

業界トップクラスの情報源を活用し、完全オープンソースのセキュリティに自信を

開発ライフサイクル全体にオープンソースセキュリティを統合

コストのかかるオープンソースライセンス違反を回避する

コードセキュリティモジュール

ソフトウェアサプライチェーンセキュリティ

シークレットセキュリティ

役立つコードセキュリティ関連資料

コードセキュリティ

シフトレフトセキュリティチェックリスト

コードセキュリティ

クラウドセキュリティの基本