ソフトウェア サプライ チェーン セキュリティ

ソフトウェア コンポーネントとデリバリー パイプライン全体にわたる完全な可視化とポリシー適用によってソフトウェア サプライ チェーンを保護します。

クラウドネイティブ開発では、開発者の生産性を高め、新機能の市場投入までの平均期間を短縮するために、ソフトウェア サプライ チェーンに依存します。しかし、ソフトウェア サプライ チェーンは、サードパーティのソフトウェアやツールを開発者のワークフローに組み込むため、固有のリスクと複雑さをもたらします。セキュリティ チームは、ソフトウェア サプライ チェーンを脅威から保護するためにガードレールを設定すると同時に、そのガードレールによって開発者のアジリティが低下しないようにする必要があります。

ソフトウェア サプライ チェーンのリスクに関するUnit 42の最新リサーチ レポートをご覧ください。

サードパーティ コンポーネントとデリバリー パイプラインを保護

Prisma Cloudは、コードからリソース、デリバリー パイプラインまでのソフトウェア サプライ チェーンのあらゆるコンポーネントを可視化するだけでなく、安全な設定を継続的に適用できます。 Prisma Cloudの業界最先端の信頼できるデータ ソースは、開発環境へのネイティブ統合と相まって、あらゆるサードパーティ サプライ チェーン リスクの管理と軽減を容易にします。
  • ソフトウェア コンポーネントやデリバリー パイプラインのリスクを可視化。
  • 開発者ツールやワークフローに統合。
  • クラス最高の設定ミスおよび脆弱性スキャン エンジン。
  • コード インベントリと可視化
    コード インベントリと可視化
  • シークレットのスキャン
    シークレットのスキャン
  • レジストリ スキャン
    レジストリ スキャン
  • 信頼できるイメージの適用
    信頼できるイメージの適用
  • CI/CDセキュリティ
    CI/CDセキュリティ
  • IAMの自動サイズ適正化
    IAMの自動サイズ適正化

Prisma Cloudソリューション

弊社のサプライ チェーン セキュリティ アプローチ

統合的なサプライ チェーン カバレッジと可視化

Prisma Cloudのサプライチェーン図を使用すれば、サプライチェーンの各コンポーネントを可視化し、あらゆる関連リスクを理解できます。 Prisma Cloudのサプライ チェーン図は、組織のすべてのコードおよびパイプライン コンポーネントを1つに要約して可視化します。さらに、セキュリティ状況データを重ねて表示し、組織のアプリケーションおよびインフラストラクチャ資産の依存関係を完全に視覚的に表現します。そこから得られた知見を生かして、サプライチェーン全体のリスクに優先順位を付け、より効率的にリソースをデプロイしながら、悪用される可能性が最も高い問題を修復できます。

  • ソフトウェア サプライ チェーンの可視化とカタログ化

    サプライ チェーン図は、組織のデリバリー パイプラインとコード コンポーネントの統合インベントリを提供します。すべての関係が可視化されるため、サプライ チェーンの攻撃対象領域に対する必要な可視性が得られます。その上で、Prisma Cloudの一括プル リクエスト修正機能などを利用して、分析結果に基づいて対策を講じることができます。この機能を使用すれば、単一のプル リクエストを作成し、多数の違反に対して自動修正を一度に適用できます。

  • コンテキストを考慮したソフトウェア構成分析(SCA)

    Prisma Cloudは、無制限の依存関係ツリー スキャンとバージョン バンプのきめ細かな修正が可能なオープン ソース パッケージ スキャンをサポートしています。Prisma CloudのSCA機能は、インフラストラクチャの設定ミスに脆弱性の分析結果を重ねて表示し、開発者ツールに組み込むことにより、オープン ソースのリスクの優先順位付けと修正を迅速化します。

  • 業界最先端のIaCセキュリティ

    Prisma Cloudは、市場で最も強力なオープンソースpolicy-as-codeエンジン「Checkov」を搭載し、クラウド セキュリティのベスト プラクティスの積極的な適用に役立つ数千のポリシーを備えています。Prisma Cloudは、クラウド セキュリティの問題を開発ライフサイクルの早い段階で特定し、コード修正機能を提供することで、安全なインフラストラクチャ コードのみがデプロイされるようにします。

Consolidated supply chain coverage and visualization

リポジトリとレジストリを保護

組織は、複雑化の一途をたどるクラウドネイティブ コードベースに対応するために、コードの保管、バージョン管理、管理をサードパーティ システムに大きく依存しています。GitHub、GitLab、Bitbucketなどのバージョン管理システム(VCS)は、コード管理もサポートしているはずであり、専有コードや重要システムが置かれるため、やはり保護が必須です。また、DockerHubなどのイメージ レジストリはコンテナ イメージの保管と素早いアクセスのために不可欠ですが、適切なセキュリティ対策が講じられていないと、脆弱性や悪意のあるイメージをもたらす可能性もあります。 Prisma Cloudは、VCS組織設定を継続的に評価し、SLSAやCISベンチマークによって定義されたセキュリティ ベスト プラクティスに合わせて常に最新状態に維持するためのポリシーを備えています。

  • VCS組織設定の自動スキャン

    日々の多忙に追われ、ついVCS組織設定を見過ごしたり、すべてのコード コントリビューターが安全だと思い込んだりしがちです。Prisma Cloudは、シングル サインオン(SSO)や2要素認証(2FA)などのVCSベスト プラクティスを常に確保してアカウントの乗っ取りを防止するためのポリシーを備えています。

  • VCSリポジトリ設定スキャン

    VCSセキュリティを強化するために、Prisma Cloudは悪意のあるコード インジェクションやその他の不正なアクティビティや疑わしいアクティビティを防止するブランチ保護ルールの容易な適用も支援します。VCSリポジトリ設定を継続的にスキャンし、一貫して適用されたブランチ保護ルールを維持するポリシーにより、VCSリポジトリが安全であり、適切なレビューを経て初めてコードのマージが許可されるという確信が得られます。

  • 継続的なレジストリ セキュリティと信頼できるイメージ

    コンテナ レジストリは、コンテナ イメージの保管と提供を簡素化しますが、イメージ ポイズニングや安全でないイメージのデプロイを防止するためにクラウドネイティブ チームが対処しなければならない固有のセキュリティ考慮事項があります。Prisma Cloudは、コンテナ レジストリを継続的にスキャンして監視し、脆弱性や信頼できないイメージがデプロイされるのを防止します。さらに、特定の脆弱性やコンプライアンスの問題を警告または防止するきめ細かなデプロイメント ルールを設定することも可能です。

リポジトリとレジストリを保護

CI/CDパイプラインを保護

CI/CDパイプラインは、クラウドネイティブ チームにとってリリース速度を維持する上で欠かせません。しかし、デフォルトでは安全ではなく、攻撃者はサプライ チェーン攻撃を仕掛ける際にCI/CDの弱点を利用することがよくあります。 Prisma Cloudのポリシー ライブラリにはCI/CDのベスト プラクティスが含まれており、CI/CDパイプラインがサポートするのと同じ自動化を利用して、パイプラインのセキュリティを継続的に評価できます。

  • ガードレールを設定してコード インジェクションやポイズニングを阻止

    Prisma Cloudの標準装備CI/CDポリシーを使用すれば、安全でないコマンドやベータ機能の使用の阻止といったガードレールの作成と適用を自動化できます。

  • ハードコードされたシークレットを検出して除去

    IaCテンプレートやCI/CD設定ファイルにはシークレットをハードコードしないことがベスト プラクティスですが、多忙にかまけておろそかにされることもままあります。Prisma Cloudのシークレット スキャン機能を使用すれば、ハードコードされたシークレットを素早く特定し、その露出を防止できます。

  • 最小権限の原則を自動適用

    Prisma Cloudは、policy as codeによってIAMのサイズ適正化を自動化できます。また、既存のIAMポリシーを継続的にスキャンして監査することにより、使用されていない権限を削除し、制限が緩すぎるCI/CDホスト環境アクセス権を調整します。さらに、コードの検証と安全なコードのデプロイを自動化することにより、人為的ミスの可能性を低減します。

CI/CDパイプラインを保護

統合されたソフトウェア部品表(SBOM)の生成

SBOMは、組織のソフトウェア コンポーネントとすべての関連セキュリティ問題の完全なインベントリです。しかし、SBOMの完全性は入力次第であり、複数のポイント ソリューションを使用して完璧を期すには、手作業による重複排除や統合が必要です。 Prisma Cloudは、アプリケーションおよびインフラストラクチャ コンポーネント全体にわたるSBOMの一元化により、クラウドネイティブ アプリケーションのSBOM生成プロセスを簡素化し、社内外の顧客とのインベントリやリスク情報の共有を容易にします。

  • 柔軟な統合エクスポート

    完全なSBOMには、すべてのIaCリソース、オープン ソース パッケージ、イメージ コンポーネント、既知の脆弱性、設定ミス、およびオープン ソース ライセンスが含まれます。Prisma Cloudは、SBOMをCSVやCycloneDXなどの標準レポート形式でエクスポートします。

  • SBOMベンダー要件に対応

    米国政府をはじめとするお客様の間では、多くの主要問題の解決策としてSBOMの需要が高まっています。SBOMは、主に調達プロセスにおけるベンダーの説明責任を維持し、組織の継続的リスク評価において個々のベンダーに起因するリスクを確実に把握する目的で使用されます。

  • 正確で信頼できるソフトウェア インベントリを維持

    生成されたSBOMをデプロイ前後で比較することにより、改ざんを検出・修復してSBOM内に保存された情報の妥当性と信頼性を維持できます。

統合されたソフトウェア部品表(SBOM)の生成

コード セキュリティ モジュール

IaCセキュリティ

開発ワークフローに組み込まれた自動IaCセキュリティ

ソフトウェア構成分析(SCA)

コンテキストを考慮したオープン ソース セキュリティとライセンス準拠

ソフトウェア サプライチェーン セキュリティ

ソフトウェア コンポーネントとパイプラインをエンドツーエンドで保護

シークレット セキュリティ

リポジトリとパイプラインに対するフルスタックの多面的なシークレット スキャン。

主なリソース

Prisma Cloudの能力を詳しく知る