ソフトウェアサプライチェーンセキュリティ

クラウドネイティブ開発では、開発者の生産性を高め、新機能の市場投入までの平均期間を短縮するために、ソフトウェアサプライチェーンに依存します。しかし、ソフトウェアサプライチェーンは、サードパーティのソフトウェアやツールを開発者のワークフローに組み込むため、固有のリスクと複雑さをもたらします。セキュリティチームは、ソフトウェアサプライチェーンを脅威から保護するためにガードレールを設定すると同時に、そのガードレールによって開発者のアジリティが低下しないようにする必要があります。

ソフトウェアサプライチェーンのリスクに関するUnit 42の最新リサーチレポートをご覧ください。

1

安全でないサードパーティコンポーネントが攻撃の主因

Infrastructure as Code (IaC)テンプレート、パッケージ、コンテナイメージなどのサードパーティオープンソースコンポーネントは、開発者の生産性の大幅な向上に役立ちますが、脆弱性を抱えがちで、デフォルトでは安全ではありません。

脆弱性や設定ミスを積極的にかつ継続的に可視化しないと、安全でないコンポーネントをアプリケーションで使用する可能性が高くなります。その結果、アラートノイズや実行時の弱点が生じ、ソフトウェアサプライチェーン攻撃に利用される可能性があります。

2

弱いパイプラインが攻撃者の侵入ポイントに

VCSリポジトリやCI/CDパイプラインは、クラウドネイティブチームのリリース速度を最大限に向上させます。しかし、VCS設定やCI/CDワークフローはデフォルトでは制限が緩く、無謀なプッシュやコードインジェクション、ポイズニング攻撃を防御できません。設定が弱いと、攻撃者が専有コードやミッションクリティカルなシステムへのアクセス権を取得する恐れがあります。さらに、攻撃者が特権アクセスを取得した場合、データを漏えいさせたり、悪意のあるコードを挿入したり、他の弱いソフトウェアコンポーネントを使用して横方向に移動したりする可能性があります。

サプライチェーンを自動的にカバーしないと、すべてのリポジトリ、レジストリ、パイプラインを確実にロックダウンするのは困難です。

3

コードからクラウドまでの全資産の追跡は困難

クラウドネイティブソフトウェアサプライチェーンは絶えず変化する相互接続システムであり、サプライチェーン全体に対する完全な可視性を維持するのは容易ではありません。ポイントソリューションでは、開発ライフサイクル全体にわたるリソース、パッケージ、脆弱性、設定ミスの追跡に必要な、コードからクラウドまでのシームレスなカバレッジは得られません。

クラウドネイティブスタックおよび開発ライフサイクル全体にわたるコンテキストを考慮したカバレッジがないと、脆弱性や実際のリスクに基づくセキュリティ問題の優先順位付けは困難です。

サードパーティコンポーネントとデリバリーパイプラインを保護

Prisma Cloudは、コードからリソース、デリバリーパイプラインまでのソフトウェアサプライチェーンのあらゆるコンポーネントを可視化するだけでなく、安全な設定を継続的に適用できます。 Prisma Cloudの業界最先端の信頼できるデータソースは、開発環境へのネイティブ統合と相まって、あらゆるサードパーティサプライチェーンリスクの管理と軽減を容易にします。

ソフトウェアコンポーネントやデリバリーパイプラインのリスクを可視化。
開発者ツールやワークフローに統合。
クラス最高の設定ミスおよび脆弱性スキャンエンジン。

Prisma Cloudソリューション

弊社のサプライチェーンセキュリティアプローチ

統合的なサプライチェーンカバレッジと可視化

Prisma Cloudのサプライチェーン図を使用すれば、サプライチェーンの各コンポーネントを可視化し、あらゆる関連リスクを理解できます。 Prisma Cloudのサプライチェーン図は、組織のすべてのコードおよびパイプラインコンポーネントを1つに要約して可視化します。さらに、セキュリティ状況データを重ねて表示し、組織のアプリケーションおよびインフラストラクチャ資産の依存関係を完全に視覚的に表現します。そこから得られた知見を生かして、サプライチェーン全体のリスクに優先順位を付け、より効率的にリソースをデプロイしながら、悪用される可能性が最も高い問題を修復できます。

ソフトウェアサプライチェーンの可視化とカタログ化
サプライチェーン図は、組織のデリバリーパイプラインとコードコンポーネントの統合インベントリを提供します。すべての関係が可視化されるため、サプライチェーンの攻撃対象領域に対する必要な可視性が得られます。その上で、Prisma Cloudの一括プルリクエスト修正機能などを利用して、分析結果に基づいて対策を講じることができます。この機能を使用すれば、単一のプルリクエストを作成し、多数の違反に対して自動修正を一度に適用できます。
コンテキストを考慮したソフトウェア構成分析(SCA)
Prisma Cloudは、無制限の依存関係ツリースキャンとバージョンバンプのきめ細かな修正が可能なオープンソースパッケージスキャンをサポートしています。Prisma CloudのSCA機能は、インフラストラクチャの設定ミスに脆弱性の分析結果を重ねて表示し、開発者ツールに組み込むことにより、オープンソースのリスクの優先順位付けと修正を迅速化します。
業界最先端のIaCセキュリティ
Prisma Cloudは、市場で最も強力なオープンソースpolicy-as-codeエンジン「Checkov」を搭載し、クラウドセキュリティのベストプラクティスの積極的な適用に役立つ数千のポリシーを備えています。Prisma Cloudは、クラウドセキュリティの問題を開発ライフサイクルの早い段階で特定し、コード修正機能を提供することで、安全なインフラストラクチャコードのみがデプロイされるようにします。

詳細

Consolidated supply chain coverage and visualization

リポジトリとレジストリを保護

組織は、複雑化の一途をたどるクラウドネイティブコードベースに対応するために、コードの保管、バージョン管理、管理をサードパーティシステムに大きく依存しています。GitHub、GitLab、Bitbucketなどのバージョン管理システム(VCS)は、コード管理もサポートしているはずであり、専有コードや重要システムが置かれるため、やはり保護が必須です。また、DockerHubなどのイメージレジストリはコンテナイメージの保管と素早いアクセスのために不可欠ですが、適切なセキュリティ対策が講じられていないと、脆弱性や悪意のあるイメージをもたらす可能性もあります。 Prisma Cloudは、VCS組織設定を継続的に評価し、SLSAやCISベンチマークによって定義されたセキュリティベストプラクティスに合わせて常に最新状態に維持するためのポリシーを備えています。

VCS組織設定の自動スキャン
日々の多忙に追われ、ついVCS組織設定を見過ごしたり、すべてのコードコントリビューターが安全だと思い込んだりしがちです。Prisma Cloudは、シングルサインオン(SSO)や2要素認証(2FA)などのVCSベストプラクティスを常に確保してアカウントの乗っ取りを防止するためのポリシーを備えています。
VCSリポジトリ設定スキャン
VCSセキュリティを強化するために、Prisma Cloudは悪意のあるコードインジェクションやその他の不正なアクティビティや疑わしいアクティビティを防止するブランチ保護ルールの容易な適用も支援します。VCSリポジトリ設定を継続的にスキャンし、一貫して適用されたブランチ保護ルールを維持するポリシーにより、VCSリポジトリが安全であり、適切なレビューを経て初めてコードのマージが許可されるという確信が得られます。
継続的なレジストリセキュリティと信頼できるイメージ
コンテナレジストリは、コンテナイメージの保管と提供を簡素化しますが、イメージポイズニングや安全でないイメージのデプロイを防止するためにクラウドネイティブチームが対処しなければならない固有のセキュリティ考慮事項があります。Prisma Cloudは、コンテナレジストリを継続的にスキャンして監視し、脆弱性や信頼できないイメージがデプロイされるのを防止します。さらに、特定の脆弱性やコンプライアンスの問題を警告または防止するきめ細かなデプロイメントルールを設定することも可能です。

CI/CDパイプラインを保護

CI/CDパイプラインは、クラウドネイティブチームにとってリリース速度を維持する上で欠かせません。しかし、デフォルトでは安全ではなく、攻撃者はサプライチェーン攻撃を仕掛ける際にCI/CDの弱点を利用することがよくあります。 Prisma CloudのポリシーライブラリにはCI/CDのベストプラクティスが含まれており、CI/CDパイプラインがサポートするのと同じ自動化を利用して、パイプラインのセキュリティを継続的に評価できます。

ガードレールを設定してコードインジェクションやポイズニングを阻止
Prisma Cloudの標準装備CI/CDポリシーを使用すれば、安全でないコマンドやベータ機能の使用の阻止といったガードレールの作成と適用を自動化できます。
ハードコードされたシークレットを検出して除去
IaCテンプレートやCI/CD設定ファイルにはシークレットをハードコードしないことがベストプラクティスですが、多忙にかまけておろそかにされることもままあります。Prisma Cloudのシークレットスキャン機能を使用すれば、ハードコードされたシークレットを素早く特定し、その露出を防止できます。
最小権限の原則を自動適用
Prisma Cloudは、policy as codeによってIAMのサイズ適正化を自動化できます。また、既存のIAMポリシーを継続的にスキャンして監査することにより、使用されていない権限を削除し、制限が緩すぎるCI/CDホスト環境アクセス権を調整します。さらに、コードの検証と安全なコードのデプロイを自動化することにより、人為的ミスの可能性を低減します。

詳細

統合されたソフトウェア部品表(SBOM)の生成

SBOMは、組織のソフトウェアコンポーネントとすべての関連セキュリティ問題の完全なインベントリです。しかし、SBOMの完全性は入力次第であり、複数のポイントソリューションを使用して完璧を期すには、手作業による重複排除や統合が必要です。 Prisma Cloudは、アプリケーションおよびインフラストラクチャコンポーネント全体にわたるSBOMの一元化により、クラウドネイティブアプリケーションのSBOM生成プロセスを簡素化し、社内外の顧客とのインベントリやリスク情報の共有を容易にします。

柔軟な統合エクスポート
完全なSBOMには、すべてのIaCリソース、オープンソースパッケージ、イメージコンポーネント、既知の脆弱性、設定ミス、およびオープンソースライセンスが含まれます。Prisma Cloudは、SBOMをCSVやCycloneDXなどの標準レポート形式でエクスポートします。
SBOMベンダー要件に対応
米国政府をはじめとするお客様の間では、多くの主要問題の解決策としてSBOMの需要が高まっています。SBOMは、主に調達プロセスにおけるベンダーの説明責任を維持し、組織の継続的リスク評価において個々のベンダーに起因するリスクを確実に把握する目的で使用されます。
正確で信頼できるソフトウェアインベントリを維持
生成されたSBOMをデプロイ前後で比較することにより、改ざんを検出・修復してSBOM内に保存された情報の妥当性と信頼性を維持できます。

コードセキュリティモジュール

IaCセキュリティ

開発ワークフローに組み込まれた自動IaCセキュリティ

詳細

ソフトウェア構成分析(SCA)

コンテキストを考慮したオープンソースセキュリティとライセンス準拠

詳細