ソフトウェアサプライチェーンのセキュリティ

重要性

近年、ソフトウェアサプライチェーンが攻撃者にとって非常に魅力的な標的となっている。現代のソフトウェア開発では、グローバルな開発チームが数多くのオープンソースソフトウェアやコードリポジトリを使用することによるものである。

SBOMsとSLSA

このような脆弱性を修復するためには、SBOMs（Software Bill of Materials）が不可欠なツールとなる。SBOMsは、ソフトウェアが使用する全てのコンポーネントや依存関係を記録した公式な文書であり、機械可読形式で作成される。

また、SLSA（Supply Chain Levels for Software Artifacts）フレームワークも重要な役割を果たす。SLSAは、ソフトウェアアーティファクトのサプライチェーンのセキュリティを評価するためのフレームワークであり、プロバンスや属性情報を記録し、ソフトウェアの信頼性と安全性を高めることができる。

DevSecOps

DevSecOpsは、開発とセキュリティを統合する概念である。ソフトウェアの安全性と信頼性を高めるために不可欠なツールであり、近年注目されている。

ガイドライン

本日は、ソフトウェアサプライチェーンのセキュリティに焦点を当てた4つのガイドラインをご紹介した。最後に専門用語を解説する。

SBOMsの生成と管理

SBOMsは、ゼロデイ脆弱性やコンポーネント問題の修復に役立つ。セキュリティチームが迅速に脆弱性を追跡し、影響を受けたコンポーネントを特定することができる。

DevSecOpsの実践とPolicy-as-code

DevSecOpsの実践とPolicy-as-codeの導入により、セキュリティとコンプライアンスを向上させることが可能である。SLSAフレームワークの採用は、ソフトウェアの信頼性を確保するために有効な手段である。

適切なガバナンスとポリシーの実施

適切なガバナンスとポリシーの実施が、ソフトウェア開発ライフサイクル全体にわたってセキュリティを確保するための鍵となる。

専門用語の解説

- SBOMs（Software Bill of Materials）：ソフトウェアが使用する全てのコンポーネントや依存関係を記録した公式な文書であり、機械可読形式で作成される。
- DevSecOps：開発とセキュリティを統合する概念である。ソフトウェアの安全性と信頼性を高めるために不可欠なツールである。
- CIS Software Supply Chain Security Benchmark：ソフトウェアサプライチェーンのセキュリティを評価するためのフレームワークであり、RBACや最小権限の原則、脆弱性スキャンなどを実施し、ソフトウェアの安全性と信頼性を高めることができる。
- SLSA（Supply Chain Levels for Software Artifacts）：ソフトウェアアーティファクトのサプライチェーンのセキュリティを評価するためのフレームワークであり、プロバンスや属性情報を記録し、ソフトウェアの信頼性と安全性を高めることができる。