検索

ソフトウェア サプライ チェーン セキュリティ

CI/CDのパイプラインを強化し、アタック サーフェスを縮小し、アプリケーション開発環境を保護。
デモを申し込む
AppSecダッシュボード

クラウドネイティブ開発では、開発者の生産性を高め、新機能の市場投入までの平均期間を短縮するために、ソフトウェア サプライ チェーンに依存します。しかし、ソフトウェア サプライ チェーンは、サードパーティのソフトウェアやツールを開発者のワークフローに組み込むため、固有のリスクと複雑さをもたらします。セキュリティ チームは、ソフトウェア サプライ チェーンを脅威から保護するためにガードレールを設定すると同時に、そのガードレールによって開発者のアジリティが低下しないようにする必要があります。

サプライ チェーン攻撃がもたらす莫大なリスク

クラウド ネイティブなアプリケーションは、多数の依存関係とサードパーティ ソフトウェアを利用します。潜在的なセキュリティ リスクをすべて把握するには、この依存関係とソフトウェアからなる多様なエコシステム全体を包括する可視性がきわめて重要です。

ソフトウェア サプライ チェーンは見落とされがち

数多くのテクノロジが、自動化の制御に不可欠なソフトウェア サプライ チェーンに接続されており、ソース コードとランタイム環境の両方にアクセスできます。一方で、従来のアプリケーションセキュリティ プログラムではこのリスク要因が認識されないため、CI/CDパイプラインはアタック サーフェス監視ワークフローに組み入れられていません。

サイロ化したセキュリティ ツールがカバー範囲のギャップを生む

アプリケーション インフラに関する完全なコンテキストがなければ、検出したリスクがアプリケーション内で顕在化しているか否かを判断できません。デリバリー パイプラインを越えてランタイム環境にまでつながる可視性が得られて初めて、セキュリティの問題をコードベース全体のコンテキストで認識でき、より適切な優先順位付けと迅速な修正が可能になります。

開発を遅らせることなくソフトウェア サプライ チェーンのセキュリティを確保。

開発を遅らせることなくソフトウェア サプライ チェーンのセキュリティを確保。
  • すべてのコード アーティファクトと依存関係をスキャンしてパイプラインを保護
  • OWASPトップ10のCI/CDセキュリティ リスクに対する保護
  • きめ細かい制御により、本番環境に影響が及ばないように安全でないコードをブロック
  • グラフベースのサプライ チェーン マッピング
    グラフベースのサプライ チェーン マッピング
  • 幅広いエンジニアリング ツールのインベントリ
    幅広いエンジニアリング ツールのインベントリ
  • パイプライン体制管理
    パイプライン体制管理
  • 修正のための実用的なガイダンス
    修正のための実用的なガイダンス
ソリューション

弊社のソフトウェア サプライ チェーン セキュリティ アプローチ

エンジニアリング エコシステム全体で一元化された可視性

クラウドネイティブなエンジニアリング エコシステムは複雑化しており、その保護に必要な包括的な可視性の確保がアプリケーション セキュリティ チームの課題となっています。エコシステムに含まれる言語、フレームワーク、ツール、実行可能ファイルの統合インベントリの作成が、安全なソフトウェア サプライ チェーンを実現する第一歩です。 Cortex Cloudは、使用中の全テクノロジと、関連するセキュリティ リスクを単一のビューにまとめて提示します。

  • 言語およびリポジトリ全体を卓越した精度でスキャン

    あらゆる一般的な言語に対応し、多様なコードを対象にセキュリティ リスクを特定します。

  • インフラストラクチャとアプリケーションのリスクを関連付け

    コードベース内で露出している重大なリスクに焦点を当て、誤検知を排除すると同時に、修復の優先順位付けを迅速化します。

  • ソフトウェア サプライ チェーンを視覚化

    エンジニアリング エコシステム全体にわたる、CI/CDパイプラインとコードのリスクの統合インベントリが作成されます。

  • ソフトウェア サプライ チェーンをカタログ化

    ソフトウェア部品表(SBOM)を生成して、アプリケーションのリスク要因をすべて追跡し、アタック サーフェスを把握できます。

VCS組織

デリバリー パイプラインの体制管理

クラウド攻撃は、CI/CDパイプラインとソフトウェア サプライ チェーンを頻繁に標的としており、組織はコード インジェクション、資格情報の盗難、データ流出、知的財産の盗難の危険にさらされています。これに対処するには、新たなセキュリティ手法の実施が必要です。OWASPトップ10にマッピングされたセキュリティ問題を参考にすることで、攻撃ベクトルを特定し、ソフトウェア サプライ チェーン セキュリティへの対処指針を得ることができます。

  • ソフトウェア サプライ チェーンのセキュリティ体制を可視化

    不足しているブランチ保護ルール、安全でないパイプライン設定、パイプラインがポイズニングを受けた可能性を特定し、ネイティブ制御を適用して攻撃を未然に防ぎます。

  • 侵害の経路を視覚化

    グラフベースの分析によって複雑に絡んだ関係を解明して重大なリスクを特定し、重要な資産に到達する侵害の経路を把握します。

  • デリバリー パイプラインを強化

    重要なセキュリティ ガードレールを導入して、パイプラインを長期的に強化することにより、攻撃者によるサプライ チェーンの弱点を悪用した本番環境への侵入や、悪意のあるコードの実行を阻止します。

  • パイプラインで露出した資格情報を特定

    盗まれて悪用された可能性があるWebhooksやパイプライン ログ内の平文の資格情報を検出します。

  • ソフトウェア開発ライフサイクルを通じて、カスタム ポリシーを作成して適用

    脆弱性管理を組み込み、リポジトリ、レジストリ、CI/CDパイプライン、ランタイム環境をスキャンします。

体制管理

アプリケーションのライフサイクル全体にわたる一貫したセキュリティ

Cortexプラットフォームを活用して、コードからクラウド、SOCに至るまで一貫したセキュリティを適用します。統合されたデータ、AI、自動化により、脅威をそのソースで即座に阻止する適応型防御が構築されます。

  • ソフトウェアの開発時とテスト時のコードに含まれるリスクを特定

    GitHubなどのリポジトリやDocker、Quay、Artifactoryなどのレジストリの全体にわたって、パッケージとイメージに脆弱性やコンプライアンスの問題がないかチェックします。

  • 入念に検証されたイメージとテンプレートのみに導入対象を限定

    Cortex Cloudのコード スキャン機能とコンテナ サンドボックス分析機能を利用して、悪意のあるコードやアプリを検出・ブロックし、本番環境に影響が及ばないようにします。

  • あらゆる監査またはセキュリティ インシデントの詳細なフォレンジックを取得

    優れたタイムライン ビューでフォレンジックの詳細を自動かつ安全に収集し、インシデント レスポンスを可能にします。Cortex Cloud上でデータを確認することも、他のシステムにデータを送信して詳細な分析を行うことも可能です。

  • あらゆるランタイム環境での危険なアクティビティを防止

    一元化されたコンソールからランタイム ポリシーをすべて管理し、すべてのデプロイにセキュリティを確実に組み込みます。インシデントを詳細なフォレンジックと豊富なメタデータとともにMITRE ATT&CK®フレームワークに関連付けることで、SOCチームが一時的なクラウドネイティブ ワークロードに対する脅威を追跡するのに役立ちます。

  • コンテキストを考慮したセキュリティの実現

    完全なクラウド開発者インベントリ、設定評価、自動修復などにより、実行時のデータ侵害やコンプライアンス違反につながる設定ミスや脆弱性を検出して防止します。

ASPM Command Center

追加のアプリケーション セキュリティ機能

IaCセキュリティ

開発ワークフローに組み込まれた自動IaCセキュリティ

詳細

ソフトウェア構成分析(SCA)

コンテキストを考慮したオープン ソース セキュリティとライセンス準拠

詳細

アプリケーション セキュリティ体制管理

リスクが本番環境に到達しないようにブロックし、問題をソースで迅速に修復します。

詳細

シークレット セキュリティ

リポジトリとパイプラインに対するフルスタックの多面的なシークレット スキャン。

詳細

最新ニュース、イベント情報、脅威アラートを配信