コード セキュリティ

Prisma® Cloudは、開発者ツールと連携して、クラウド ネイティブのインフラストラクチャとアプリケーションで、自動化されたセキュリティを実現します。
Code Security Front
Code Security Back

クラウドネイティブ アプリケーション開発はペースが速く複雑です。セキュリティ チームがこのペースに追従するのは困難な場合があります。しかし、DevOpsのいくつかのベストプラクティスを採用し、コードからクラウドまでカバーするアプリとインフラのセキュリティを自動化によって実現することで、チームのプレッシャーを軽減できる可能性があります。

IaC (Infrastructure as Code)セキュリティの現状に関するUnit 42の最新レポートをご覧ください

最新アーキテクチャとソフトウェア サプライチェーンをすべてカバーするコード セキュリティを1つのツールで。

Prisma Cloudは、ソフトウェア開発サイクル全体に包括的なセキュリティを組み込んでいます。これにより、脆弱性、設定ミス、コンプライアンス違反、公開シークレットを開発ライフサイクルの初期段階で検出します。また、IaCテンプレート、コンテナ イメージ、オープン ソース パッケージ、デリバリー パイプラインのスキャンにも対応しており、オープン ソース コミュニティと長年の脅威リサーチ経験に裏付けられたコード セキュリティを実現できます。さらに、可視性とポリシー制御の連携により、エンジニアリング チームがツールを切り替えることなくスタック全体を保護しつつ、デプロイされる全コードの安全をセキュリティ チームが確保できます。
  • 複数の言語、ランタイム、フレームワークのサポート
  • 構築時から実行時までの一貫した制御
  • DevOpsツールへの組み込み
  • Infrastructure as Codeのスキャン
    Infrastructure as Codeのスキャン
  • コンテナ イメージのスキャン
    コンテナ イメージのスキャン
  • Policy as code
    Policy as code
  • サプライチェーン セキュリティ
    サプライチェーン セキュリティ
  • シークレット セキュリティ
    シークレット セキュリティ
  • ソフトウェア構成分析
    ソフトウェア構成分析
  • OSSライセンスのコンプライアンス
    OSSライセンスのコンプライアンス

Prisma Cloudソリューション

弊社のコード セキュリティ アプローチ

Infrastructure as Codeのスキャン

Infrastructure as Codeでは、本番環境に導入する前に、クラウド インフラストラクチャをコードの状態で保護できます。Prisma Cloudは、自動化を使用し、Terraform、CloudFormation、Kubernetes、Dockerfile、Serverless、およびARMテンプレート用にDevOpsツールのワークフローにセキュリティを組み込むことで、ソフトウェア開発ライフサイクル全体のセキュリティを簡素化します。

  • コードのクラウド セキュリティ スキャンを自動化

    ソフトウェア開発ライフサイクルの各段階に設定ミスと公開シークレットの自動チェックを追加します。

  • オープン ソースとコミュニティの力を活用

    CheckovはPrisma CloudのIaCセキュリティの中核を担うオープン ソースの代表的なPolicy as Codeツールです。活発なコミュニティに支えられており、ダウンロード数は数百万回にのぼります。

  • コード セキュリティのフィードバックを開発ツールに直接提供

    Prisma CloudはIDE、VCS、CI/CDツールとネイティブに統合されており、開発者が既存のワークフローを通じて安全なコードを提供できます。

  • 設定ミスの詳細なコンテキストを組み込む

    Prisma CloudはIaCリソースの依存関係と開発者による最新の修正を自動的に追跡し、大規模チームのコラボレーションを改善します。

  • 自動化されたフィードバックとコード内の修正を提供する

    検出した設定ミスに対する修正とSmart Fixのプル リクエストとコミットを自動化するほか、設定ミスのプル リクエスト コメントも自動化します。

 Infrastructure as Codeのスキャン

コンテナ イメージのスキャン

コンテナ イメージは、クラウド ネイティブ アプリケーションの主要なコンポーネントです。しかしコンテナ イメージには、通常、オペレーティング システムや構成など、開発者がコントロールできない多くのリソースが含まれています。Prisma Cloudを利用すると、脆弱性、コンプライアンス違反、公開シークレットのコンテナ イメージへの混入を防ぐガードレールを実装できます。

  • コンテナ イメージ内の脆弱性を特定する

    twistcliを使用して、コンテナ イメージ レイヤーに組み込まれたオペレーティング システムやオープン ソース パッケージの脆弱性を特定します。

  • 修正ステータスと修正ガイダンスを提供する

    更新パッケージの優先順位をつけるために、修正ステータス、修正対象となる最小バージョン、修正プログラムがリリースされてからの経過時間を、開発者に伝えます。

  • 重大度レベルに基づいて脆弱性を警告またはブロックする

    脆弱性のあるイメージで重大度レベル要件を満たさないと本番環境へプッシュする前にイメージをブロックするガードレールを追加します。

  • コード内のコンテナのコンプライアンスを実現する

    コンテナ イメージの依存関係と設定が、CISなどの一般的なベンチマークに違反していないか、また構築時にマルウェアなどの独自の問題が発生していなかをチェックします。

  • コンテナ イメージの信頼性を確保する

    ビルド時のスキャン、コンテナに含まれる公開シークレットの検出、信頼できるレジストリの利用によってイメージを堅牢化し、コンテナ イメージのサプライ チェーンのセキュリティを確保します。

  • ソフトウェア開発ライフサイクル全体での統合

    よく使用されるCI/CDツール、VCS、レジストリにセキュリティのフィードバックとガードレールを組み込みます。

Container image scanning

Policy as Code

従来のセキュリティ テストは個々の組織が個々のツールを使用して実施するため、管理がサイロ化され、再現が難しくなっています。Prisma CloudではPolicy as Codeを提供するため、制御がコードに組み込まれます。これにより、制御の再現、バージョン管理、ライブ コード リポジトリに基づいたテストができます。

  • コードを使用してポリシーを構築し管理する

    IaCテンプレート用に、PythonとYAMLで、チェックリスト、スキップリスト、グラフベースのカスタム ポリシーを定義、テスト、バージョン管理します。

  • アカウントとエージェントをコードで導入および設定する

    Terraformを使用して、アカウントのオンボーディング、エージェントの導入、ランタイム ポリシーの設定(OpenAPIファイルやSwaggerファイルに基づく取り込みや保護など)を行います。

  • 設定ミスに対する標準ポリシーとカスタム ポリシーを活用

    Prisma Cloudにはコード上で構築された数百種類のカスタム ポリシーが標準搭載されています。また、クラウド リソースやIaCテンプレート用のカスタム ポリシーを追加することも可能です。

  • 作成中のコードに直接フィードバックを提供する

    IaCテンプレートには、自動修正、プル/マージ リクエスト コメント、およびプル/マージ リクエストの自動修正によるフィードバックが直接含まれます。

Policy as code

サプライチェーン セキュリティ

クラウド ネイティブなソフトウェア サプライチェーンが攻撃の標的になる事例が増加しています。攻撃の狙いはコードやシークレットへの不正アクセスであり、不正なコードのインジェクションやデータ流出に悪用されます。Prisma Cloudはサプライチェーンのコンポーネントを可視化するほか、バージョン管理システム(VCS)とCI/CDパイプラインの体制も可視化します。また、視覚的に攻撃対象領域を把握することで、ベストプラクティスに沿った形でパイプラインの安全を確保できます。

  • サプライチェーンの視覚化

    サプライチェーン図はサプライチェーンの構成要素の一覧を分かりやすく可視化したものであり、攻撃対象領域の把握と保護に役立ちます。

  • ベストプラクティスに沿ったVCS設定

    バージョン管理システム(VCS)の体制を自動管理し、支社保護などのセキュリティ ベストプラクティスを確実に適用します。

  • イメージ ポイズニング攻撃を阻止

    Prisma Cloudのイメージ スキャン機能とコンテナ サンドボックス分析機能を利用して不正なイメージを検出・ブロックし、承認済みの信頼できるイメージだけをデプロイします。

  • ソフトウェア部品表(SBOM)の生成

    アプリケーションのリスクを追跡・把握するためのSBOMレポートを生成します。レポートにはオープン ソース パッケージ、ライブラリ、IaCリソースのほか、関連するセキュリティ問題が含まれます。

 サプライチェーン セキュリティ

シークレット セキュリティ

悪質なアクターは、わずかな時間で、オンラインで公開されている認証情報を見つけて悪用します。Prisma Cloudを使用すると、本番稼働前に機密情報を特定します。シグネチャとヒューリスティクスを使用して、構築時に開発環境のIaCテンプレートとコンテナ イメージの機密情報を見つけて削除します。

  • ほとんどのファイル タイプからシークレットを検出

    IaCテンプレート、ゴールデン イメージ、Gitリポジトリ設定に含まれるパスワードとトークンを検出します。

  • 開発ツールに含まれるシークレットを検出

    IDE、CLI、プレコミット、CI/CDツールを介して開発コードに含まれるハードコードされたシークレットを早期検出します。

  • 多面的なシークレット スキャン

    正規表現、キーワード、または微調整されたエントロピーに基づく識別子を利用し、一般的なシークレットもそうでないシークレットも検出します。

Secrets scanning

ソフトウェア構成分析

現代のアプリケーション コードの大部分はオープン ソースの依存関係から構成されます。どのような依存関係を実際に利用しているかを意識せず、互換性を破る変更の適用をためらっていると、脆弱性が修正されません。Prisma Cloudは開発ツールとの統合を通じてオープン ソース パッケージと依存関係ツリー全体から脆弱性を検出します。また、きめ細かく柔軟なバージョン アップにも対応しています。

  • 業界トップクラスの情報源を活用し、完全オープン ソースのセキュリティに自信を

    Prisma Cloudは所在を問わずオープン ソースの依存関係をスキャンし、NVDなどのパブリック データベースやPrisma Cloud Intelligence Streamと比較して脆弱性を検出します。

  • 依存関係の深度を問わず、コンテキストを考慮して脆弱性を検出

    Prisma Cloudはパッケージ マネージャーのデータを取り込んで依存関係ツリーを最深部まで推定します。さらに、インフラとアプリケーションのリスクを関連付け、修復の優先度を迅速に判定します。

  • 開発ライフサイクル全体にオープン ソース セキュリティを統合

    IDEとVCSのプル/マージ リクエストを通じてリアルタイムに脆弱性を開発者にフィードバックし、脆弱性のしきい値に基づいてビルドを阻止します。これにより、クラウド ネイティブ環境の安全を先手で維持できます。

  • 互換性を破る変更を回避しながら問題を修正

    重要機能が動作しなくなるリスクを回避しつつ、直接/推移的依存関係に含まれる脆弱性の修正に必要な最低限の更新を提案します。また、パッケージごとにバージョンを細かく選択できる柔軟性を有し、複数の問題を一度に修正できます。

 ソフトウェア構成分析

OSSライセンスのコンプライアンス

すべての企業には、オープン ソース ライセンスの独自の利用規定があります。手作業でコンプライアンス レビューを実施した結果、要件を満たさないオープン ソース ライブラリが発見されるのでは遅すぎます。Prisma Cloudは依存関係のオープン ソース ライセンスをカタログ化し、カスタマイズ可能なライセンス ポリシーを基にデプロイを警告またはブロックできます。

  • コストのかかるオープン ソース ライセンス違反を回避する

    オープン ソース パッケージのライセンスに違反する場合にフィードバックを早期に行いビルドをブロックします。しかも、すべての主要言語とパッケージ マネージャーに対応しています。

  • gitおよび非gitのリポジトリをスキャンして問題を特定する

    Prisma CloudはGitHubやBitbucketなどのバージョン管理システムとネイティブに統合されています。また、コマンド ライン ツールを用いて任意のタイプのリポジトリをスキャンすることも可能です。

  • デフォルトのルールを使用したり、アラートやブロックをカスタマイズする

    コピーレフト ライセンスや利用自由なライセンスの社内要件を満たすように、ライセンス タイプに基づいてアラートとブロックしきい値を設定します。

 OSSライセンスのコンプライアンス

コード セキュリティ モジュール

IaCセキュリティ

開発ワークフローに組み込まれた自動IaCセキュリティ

ソフトウェア構成分析(SCA)

コンテキストを考慮した非常に正確なオープン ソース セキュリティとライセンス準拠

ソフトウェア サプライチェーン セキュリティ

ソフトウェア コンポーネントとパイプラインをエンドツーエンドで保護

シークレット セキュリティ

リポジトリとパイプラインに対するフルスタックの多面的なシークレット スキャン。

主なリソース

役立つコード セキュリティ関連資料