第1回: ソフトウェアサプライチェーンに対する攻撃の脅威 はじめに クラウドネイティブな環境において、ソフトウェアサプライチェーンのセキュリティが注目されています。クラウドネイティブアプリケーションは多くのオープンソースを活用し、ライフサイクルが短く、従来のセキュリティアプローチでは対策が難しいためです。State of the Software Supply Chain Report によれば、ソフトウェアサプライチェーンを標的にしたサイバー攻撃は年間平均で742%増加していると指摘されています。 一方で、クラウドネイティブ環境ではサービス展開のスピードが重要視されています。セキュリティ対策が開発スピードを遅らせたり、クラウド上の運用を困難にすることを避ける必要があります。一般的にセキュリティとスピードは相反すると見られることがありますが、両立させることは可能です。 そのためには、開発者中心のアプローチでセキュリティ対策を設計・実装し、セキュリティとスピードを両立することが大切です。技術的な対策に加え、組織の観点からもクラウドネイティブな環境を維持する取り組みが求められています。このブログでは、ソフトウェアサプライチェーンのセキュリティについて、VMware Tanzu Application Platform (以下 TAP )を用いたアプローチについて紹介していきます。 ソフトウェアサプライチェーンに対する攻撃の脅威 ソフトウェアサプライチェーンには、ソフトウェアの開発からデプロイメント(展開)までの複数のステップが組み込まれています。開発者がソースコードを作成し、テストしてから、ビルド、パッケージ化、そして最終的にサービスとして提供されます。この過程では、ソフトウェアに含まれるコンポーネントや依存関係を含めて、セキュリティや品質を管理します。 悪意のあるコードの侵入や脆弱性のリスクを最小限に抑えるために、ソフトウェアサプライチェーンのセキュリティが重要です。サードパーティ製のライブラリやコンポーネントの使用、ソースコードの信頼性、デプロイメントプロセスのセキュリティなど、多くの要素がセキュリティに影響を与えます。 ソフトウェアサプライチェーンと各フェーズに潜むリスク こうしたリスクに対応するため、SLSA やCIS Software Supply chain Security が、ソフトウェアサプライチェーンセキュリティのフレームワークとして注目されています。また、ソフトウェアサプライチェーンのセキュリティに対応するため、CNCF Cloud Native Landscape に代表される様々なテクノロジーの開発が進められています。 CNCF: Cloud Native Landscape – Security & Compliance 技術的な側面に加え、組織的な側面としてソフトウェアサプライチェーンのセキュリティを強化するために、開発部門だけが責任を負うのではなく、組織としてセキュリティリスクの特定と軽減に取り組むことが求められています。ソフトウェアサプライチェーンにセキュリティを組み込み、組織として攻撃にどう対処するか、多くの企業で模索が始まっています。 Tanzu Application Platform の提供するセキュリティモデル TAP は、EKS、AKS、GKE、TKG といったKubernetes を用いた様々なプラットフォーム上でソフトウェアサプライチェーンを提供するソリューションです。TAP のアプローチは、プラットフォームエンジニアリングの考え方に準拠しており、開発者中心のアプローチをとります。プラットフォームセキュリティをソフトウェアサプライチェーンに標準で組み込んで開発者に提供することで、開発者の生産性向上と、運用の標準化/統合化を実現します。 現在クラウド環境上で一般的に採用されている運用モデルとTAP を利用した運用モデルを比較してみます。 クラウド環境における一般的な運用モデル … 続き
The post Tanzu Application Platform の提供するソフトウェアサプライチェーンのセキュリティ(全4回) appeared first on VMware Japan Blog.