logo
用語集 Software Supply Chain Security

ソフトウェアサプライチェーンセキュリティとは?

ソフトウェアサプライチェーンセキュリティは、ソフトウェア開発の最初のコード行から最終的なデプロイメントまで、すべての部分、プロセス、ツールを安全に保つことに関するものです。

要するに、ソフトウェアサプライチェーンセキュリティは、組織がソフトウェアの作成に関与するすべての人とすべてのものを安全に保つのを助けます。これにより、攻撃者が有害なコードを追加したり、データを盗んだり、混乱を引き起こしたりするのを防ぎます。

ソフトウェアサプライチェーンには、コード、オープンソースライブラリ、ビルドシステム、API、クラウド設定、サードパーティベンダーが含まれます。どの部分も標的にされる可能性があるため、それぞれを保護する必要があります。

ソフトウェアサプライチェーンセキュリティが重要な理由

現代のソフトウェア開発は、オープンソースの依存関係、CI/CDの自動化、サードパーティの統合に大きく依存しています。

このアプローチにより、チームはより迅速に作業し、革新することができますが、同時にリスクも増大します。たとえ1つの依存関係やツールが侵害されても、深刻な問題を引き起こす可能性があります。

実際の事件がこれらのリスクを浮き彫りにしています:

  • SolarWinds攻撃(2020年):ハッカーが18,000以上の組織(政府機関を含む)で使用されるソフトウェアアップデートに悪意のあるコードを挿入しました。
  • Codecov侵害(2021年):攻撃者がCIツールのスクリプトを改変し、開発者から資格情報を盗みました。

これらの例は、信頼されているツールでさえ攻撃される可能性があることを示しています。だからこそ、ソフトウェアサプライチェーンのセキュリティがDevSecOpsチームにとって非常に重要です。

ソフトウェアサプライチェーンセキュリティの主要コンポーネント

  1. ソースコードの保護
  2. GitHubやGitLabなどのソースコード管理への安全なアクセスを確保し、MFAやロールベースのアクセス制御(RBAC)を使用して不正なコード変更を防ぎます。
  3. 依存関係の管理
  4. SCA(ソフトウェア構成分析)を使用してサードパーティライブラリを定期的にスキャンおよび更新し、既知の脆弱性(CVE)やライセンスリスクを検出します。
  5. ビルドの整合性
  6. 攻撃者からCI/CDパイプラインを保護します。コード署名、ビルドの起源追跡、Sigstoreやin-totoのようなツールを使用してビルドの真正性を確認します。
  7. アーティファクトの検証
  8. デプロイ前にビルドされたパッケージやコンテナイメージの整合性を確認します。イメージが安全であることを確認するために、イメージスキャンツールを実装します。
  9. アクセス制御と秘密管理
  10. RBAC(ロールベースのアクセス制御)を使用して権限を制限し、パスワードマネージャーやクラウドシークレットマネージャーを通じて資格情報を保護します。
  11. 継続的な監視
  12. 更新、コード変更、実行環境を含むソフトウェアライフサイクル全体を監視し、リリース後に発生する新たなセキュリティリスクをキャッチします。

例:実際のシナリオ

SaaS企業は、CIパイプライン内のオープンソースライブラリが侵害され、マルウェアが本番環境に導入されたことを発見しました。

この問題は、整合性チェックがなかったため、数週間にわたり見過ごされていました。依存関係のスキャン、コード署名、パイプラインの監視などのサプライチェーンセキュリティコントロールを実装した後、企業は攻撃面を縮小し、すべてのコード変更を前のバージョンに遡ることができるようになりました。

サプライチェーンセキュリティのベストプラクティス

  • 検証済みのソースを使用する: 信頼できるリポジトリからのみ依存関係をダウンロードする。
  • SCAツールを実装する: ライブラリの脆弱性を継続的にスキャンする。
  • ゼロトラスト原則を採用する: すべてのコンポーネントと接続を検証する。
  • すべてに署名する: ソースコード、ビルド、コンテナイメージにデジタル署名を行う。
  • フレームワークに従う: NIST SSDFやSLSAを使用して構造化されたサプライチェーン保護を行う。
  • 監視を自動化する: CI/CDパイプラインにセキュリティチェックを統合する。

ソフトウェアサプライチェーンセキュリティの利点

  • ソフトウェアを改ざんや不正な変更から保護する
  • 大規模な侵害やデータ漏洩を防ぐ
  • 顧客の信頼とコンプライアンスの信頼を構築する
  • 問題を早期に発見することで修正コストを削減する
  • 開発と配信全体の透明性を向上させる

関連用語

FAQ: ソフトウェアサプライチェーンセキュリティ

1. ソフトウェアサプライチェーン攻撃の例は何ですか?

有名な例としては、SolarWindsの侵害があります。攻撃者が更新プロセスを妨害し、数千のユーザーにマルウェアを配布しました。

2. サプライチェーンセキュリティは従来のアプリケーションセキュリティとどう違うのですか?

アプリケーションセキュリティはアプリ自体のセキュリティに焦点を当てていますが、サプライチェーンセキュリティは**アプリを作るために必要なすべてのもの、**ツール、コード、依存関係を保護します。

3. サプライチェーンセキュリティを向上させるツールは何ですか?

一般的なツールには、PlexicusコンテナセキュリティPlexicus ASPM、Snyk、Anchore、Sigstoreがあります。これらは脆弱性をスキャンし、整合性を確認し、依存関係を管理します。

4. SLSAとは何ですか?

SLSA (ソフトウェアアーティファクトのサプライチェーンレベル) は、Googleによって定義された、ソフトウェアビルドプロセスを保護し、改ざんを防ぐためのベストプラクティスのフレームワークです。

次のステップ

アプリケーションを保護する準備はできましたか?次のステップを選択してください。

無料トライアルを開始

14日間リスクなしでPlexicusを試す

価格を見る

あらゆる規模のチームに透明な価格設定

コミュニティに参加

当社のグローバルコミュニティに参加

ドキュメントを読む

当社の包括的なドキュメントを読む

すでに500以上の企業がPlexicusでアプリケーションを保護しています

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready