検索

ソフトウェア サプライ チェーン セキュリティ

ソフトウェア コンポーネントとデリバリー パイプライン全体にわたる完全な可視化とポリシー適用によってソフトウェア サプライ チェーンを保護します。
デモのお申込み
AppSec Dashboard

クラウドネイティブ開発では、開発者の生産性を高め、新機能の市場投入までの平均期間を短縮するために、ソフトウェア サプライ チェーンに依存します。しかし、ソフトウェア サプライ チェーンは、サードパーティのソフトウェアやツールを開発者のワークフローに組み込むため、固有のリスクと複雑さをもたらします。セキュリティ チームは、ソフトウェア サプライ チェーンを脅威から保護するためにガードレールを設定すると同時に、そのガードレールによって開発者のアジリティが低下しないようにする必要があります。

安全でないサードパーティ コンポーネントが攻撃の主因

Infrastructure as Code (IaC)テンプレート、パッケージ、コンテナ イメージなどのサードパーティ オープンソース コンポーネントは、開発者の生産性の大幅な向上に役立ちますが、脆弱性を抱えがちで、デフォルトでは安全ではありません。

脆弱性や設定ミスを積極的にかつ継続的に可視化しないと、安全でないコンポーネントをアプリケーションで使用する可能性が高くなります。その結果、アラート ノイズや実行時の弱点が生じ、ソフトウェア サプライ チェーン攻撃に利用される可能性があります。

弱いパイプラインが攻撃者の侵入ポイントに

VCSリポジトリやCI/CDパイプラインは、クラウドネイティブ チームのリリース速度を最大限に向上させます。しかし、VCS設定やCI/CDワークフローはデフォルトでは制限が緩く、無謀なプッシュやコード インジェクション、ポイズニング攻撃を防御できません。設定が弱いと、攻撃者が専有コードやミッションクリティカルなシステムへのアクセス権を取得する恐れがあります。さらに、攻撃者が特権アクセスを取得した場合、データを漏えいさせたり、悪意のあるコードを挿入したり、他の弱いソフトウェア コンポーネントを使用して横方向に移動したりする可能性があります。

サプライ チェーンを自動的にカバーしないと、すべてのリポジトリ、レジストリ、パイプラインを確実にロックダウンするのは困難です。

コードからクラウドまでの全資産の追跡は困難

クラウドネイティブ ソフトウェア サプライ チェーンは絶えず変化する相互接続システムであり、サプライ チェーン全体に対する完全な可視性を維持するのは容易ではありません。ポイント ソリューションでは、開発ライフサイクル全体にわたるリソース、パッケージ、脆弱性、設定ミスの追跡に必要な、コードからクラウドまでのシームレスなカバレッジは得られません。

クラウドネイティブ スタックおよび開発ライフサイクル全体にわたるコンテキストを考慮したカバレッジがないと、脆弱性や実際のリスクに基づくセキュリティ問題の優先順位付けは困難です。

サードパーティ コンポーネントとデリバリー パイプラインを保護

Cortex® Cloudは、コードからリソース、デリバリー パイプラインまでのソフトウェア サプライ チェーンのあらゆるコンポーネントを可視化するだけでなく、安全な設定を継続的に適用できます。 Cortex Cloudの業界最先端の信頼できるデータ ソースは、開発環境へのネイティブ統合と相まって、あらゆるサードパーティ サプライ チェーン リスクの管理と軽減を容易にします。
  • ソフトウェア コンポーネントやデリバリー パイプラインのリスクを可視化。
  • 開発者ツールやワークフローに統合。
  • クラス最高の設定ミスおよび脆弱性スキャン エンジン。
  • コード インベントリと可視化
    コード インベントリと可視化
  • シークレットのスキャン
    シークレットのスキャン
  • レジストリ スキャン
    レジストリ スキャン
  • 信頼できるイメージの適用
    信頼できるイメージの適用
Cortex Cloudソリューション

弊社のサプライ チェーン セキュリティ アプローチ

統合的なサプライ チェーン カバレッジと可視化

Cortex Cloudのサプライチェーン図を使用すれば、サプライチェーンの各コンポーネントを可視化し、あらゆる関連リスクを理解できます。 Cortex Cloudのサプライ チェーン図は、組織のすべてのコードおよびパイプライン コンポーネントを1つに要約して可視化します。さらに、セキュリティ状況データを重ねて表示し、組織のアプリケーションおよびインフラストラクチャ資産の依存関係を完全に視覚的に表現します。そこから得られた知見を生かして、サプライチェーン全体のリスクに優先順位を付け、より効率的にリソースをデプロイしながら、悪用される可能性が最も高い問題を修復できます。

  • ソフトウェア サプライ チェーンの可視化とカタログ化

    サプライ チェーン図は、組織のデリバリー パイプラインとコード コンポーネントの統合インベントリを提供します。すべての関係が可視化されるため、サプライ チェーンの攻撃対象領域に対する必要な可視性が得られます。その上で、Cortex Cloudの一括プル リクエスト修正機能などを利用して、分析結果に基づいて対策を講じることができます。この機能を使用すれば、単一のプル リクエストを作成し、多数の違反に対して自動修正を一度に適用できます。

  • コンテキストを考慮したソフトウェア構成分析(SCA)

    Cortex Cloudは、無制限の依存関係ツリー スキャンとバージョン バンプのきめ細かな修正が可能なオープン ソース パッケージ スキャンをサポートしています。Cortex CloudのSCA機能は、インフラストラクチャの設定ミスに脆弱性の分析結果を重ねて表示し、開発者ツールに組み込むことにより、オープン ソースのリスクの優先順位付けと修正を迅速化します。

  • 業界最先端のIaCセキュリティ

    Cortex Cloudは、市場で最も強力なオープンソースpolicy-as-codeエンジン「Checkov」を搭載し、クラウド セキュリティのベスト プラクティスの積極的な適用に役立つ数千のポリシーを備えています。Cortex Cloudは、クラウド セキュリティの問題を開発ライフサイクルの早い段階で特定し、コード修正機能を提供することで、安全なインフラストラクチャ コードのみがデプロイされるようにします。

VCS Organization

リポジトリとレジストリを保護

組織は、複雑化の一途をたどるクラウドネイティブ コードベースに対応するために、コードの保管、バージョン管理、管理をサードパーティ システムに大きく依存しています。GitHub、GitLab、Bitbucketなどのバージョン管理システム(VCS)は、コード管理もサポートしているはずであり、専有コードや重要システムが置かれるため、やはり保護が必須です。また、DockerHubなどのイメージ レジストリはコンテナ イメージの保管と素早いアクセスのために不可欠ですが、適切なセキュリティ対策が講じられていないと、脆弱性や悪意のあるイメージをもたらす可能性もあります。 Cortex Cloudは、VCS組織設定を継続的に評価し、SLSAやCISベンチマークによって定義されたセキュリティ ベスト プラクティスに合わせて常に最新状態に維持するためのポリシーを備えています。

  • VCS組織設定の自動スキャン

    日々の多忙に追われ、ついVCS組織設定を見過ごしたり、すべてのコード コントリビューターが安全だと思い込んだりしがちです。Cortex Cloudは、シングル サインオン(SSO)や2要素認証(2FA)などのVCSベスト プラクティスを常に確保してアカウントの乗っ取りを防止するためのポリシーを備えています。

  • VCSリポジトリ設定スキャン

    VCSセキュリティを強化するために、Cortex Cloudは悪意のあるコード インジェクションやその他の不正なアクティビティや疑わしいアクティビティを防止するブランチ保護ルールの容易な適用も支援します。VCSリポジトリ設定を継続的にスキャンし、一貫して適用されたブランチ保護ルールを維持するポリシーにより、VCSリポジトリが安全であり、適切なレビューを経て初めてコードのマージが許可されるという確信が得られます。

  • 継続的なレジストリ セキュリティと信頼できるイメージ

    コンテナ レジストリは、コンテナ イメージの保管と提供を簡素化しますが、イメージ ポイズニングや安全でないイメージのデプロイを防止するためにクラウドネイティブ チームが対処しなければならない固有のセキュリティ考慮事項があります。Cortex Cloudは、コンテナ レジストリを継続的にスキャンして監視し、脆弱性や信頼できないイメージがデプロイされるのを防止します。さらに、特定の脆弱性やコンプライアンスの問題を警告または防止するきめ細かなデプロイメント ルールを設定することも可能です。

Posture Management

CI/CDパイプラインを保護

CI/CDパイプラインは、クラウドネイティブ チームにとってリリース速度を維持する上で欠かせません。しかし、デフォルトでは安全ではなく、攻撃者はサプライ チェーン攻撃を仕掛ける際にCI/CDの弱点を利用することがよくあります。 Cortex Cloudのポリシー ライブラリにはCI/CDのベスト プラクティスが含まれており、CI/CDパイプラインがサポートするのと同じ自動化を利用して、パイプラインのセキュリティを継続的に評価できます。

  • ガードレールを設定してコード インジェクションやポイズニングを阻止

    Cortex Cloudの標準装備CI/CDポリシーを使用すれば、安全でないコマンドやベータ機能の使用の阻止といったガードレールの作成と適用を自動化できます。

  • ハードコードされたシークレットを検出して除去

    IaCテンプレートやCI/CD設定ファイルにはシークレットをハードコードしないことがベスト プラクティスですが、多忙にかまけておろそかにされることもままあります。Cortex Cloudのシークレット スキャン機能を使用すれば、ハードコードされたシークレットを素早く特定し、その露出を防止できます。

  • 最小権限の原則を自動適用

    Cortex Cloudは、policy as codeによってIAMのサイズ適正化を自動化できます。また、既存のIAMポリシーを継続的にスキャンして監査することにより、使用されていない権限を削除し、制限が緩すぎるCI/CDホスト環境アクセス権を調整します。さらに、コードの検証と安全なコードのデプロイを自動化することにより、人為的ミスの可能性を低減します。

ASPM Command Center

コード セキュリティ モジュール

IaCセキュリティ

開発ワークフローに組み込まれた自動IaCセキュリティ

詳細

ソフトウェア構成分析(SCA)

コンテキストを考慮したオープン ソース セキュリティとライセンス準拠

詳細

シークレット セキュリティ

リポジトリとパイプラインに対するフルスタックの多面的なシークレット スキャン。

詳細

最新ニュース、イベント情報、脅威アラートを配信