ソフトウェア サプライ チェーンのセキュリティ強化でデベロッパーが果たす重要な役割

※この投稿は米国時間 2021 年 7 月 28 日に、Google Cloud blog に投稿されたものの抄訳です。

セキュリティに関する重大ニュースについて言えば、残念ながら 2021 年は記録的な年となっています。米国東海岸のガソリン消費量の半分近くを供給している Colonial Pipeline は、ランサムウェア攻撃を受け、操業停止に追い込まれました。Kaseya、SolarWinds、Codecov などの企業が受けた破壊的な侵害も、世界的な注目を集めました。そして、バイデン大統領が、米国のサイバーセキュリティ プロファイルを強化するために、連邦政府と取引のある企業にソフトウェアのセキュリティ対策の変更を義務付ける大統領令に署名したことも、大きなニュースの一つに挙げられます。

従来のセキュリティの取り組みでは境界の保護が中心となっていましたが、昨今はセキュリティに対するデベロッパーの責任が大きくなってきています。特に、今回の大統領令の重要な要素の一つでは、エンタープライズ ソフトウェア サプライ チェーンのセキュリティの強化が重視されています。ソフトウェア サプライ チェーンのセキュリティを強化するには、ソフトウェア製品で使用されているコンポーネントを正確に把握しておくことが必要です。それには、開発環境から本番環境に移行する際にコードに影響を与えるすべてのコンポーネントが含まれます。また、オープンソースやサードパーティの依存関係といった他者が記述したコードやその他のアーティファクトに対しても可視性を確保し、その出所を証明できる必要があります。

前述の事件の多くで、攻撃者はソフトウェア サプライ チェーンにおける脆弱性を悪用しました。たとえば、見逃されていたダウンストリーム上の脆弱性の利用、悪質なコードの挿入、漏洩した認証情報を使用した CI / CD パイプラインへのアクセスがありました。これらはすべて、ソフトウェア サプライ チェーンの強力なベスト プラクティスを実装することで阻止できます。

Google にとってソフトウェア サプライ チェーンのセキュリティ強化は、これまで多くの検討を重ねてきた課題です。たとえば、Google は、米国の国立標準技術研究所（NIST）や国家安全保障会議（NSC）といった組織とガイドライン策定の取り組みを進めてきました。今後数か月以内に、連邦政府、さまざまな民間企業、学術界と協議のうえ、NIST と共同でこれらのガイドラインを公開する予定です。

これに先立って、このトピックを深く掘り下げるために、Google は 7 月 29 日にソフトウェア サプライ チェーンにおける信頼の構築と題したイベントを開催します。イベントの最初に、私は業界のエキスパートである次の人々とのディスカッションを行います。

• Google Cloud 最高情報セキュリティ責任者 Phil Venables: この大統領令が企業にとって何を意味するのか、企業がこれを遵守するため Google はどのように支援できるのかを説明します。

• Google Cloud バイス プレジデント兼 Google Fellow Eric Brewer: 最近の攻撃について、どうすれば回避できたか説明し、今後のサイバーセキュリティにおけるオープンソース ソフトウェアと標準化団体の役割について話します。

• Google Cloud プロダクト管理担当ディレクター Aparna Sinha: ソフトウェア サプライ チェーンのベスト プラクティスを活用するための Google Cloud ツールについて説明します。これらのツールは、ビルドのセキュリティとコンプライアンスを強化し、オープンソースの依存関係の管理を簡素化し、ポリシー管理のスケーラビリティをデプロイ全体にわたって高めるために利用できます。

• Shopify インフラストラクチャ セキュリティ担当スタッフ エンジニア Shane Lawrence 氏: 同社のセキュリティ対策を紹介し、実際にそのアプローチが開発速度の向上にどのような効果を与えているかについて話します。

一連のブレイクアウト セッションでは、ソフトウェア サプライ チェーンのベスト プラクティスを紹介し、それらを組織に実装する方法について説明します。終了後にオンデマンドでのご視聴も可能です。こちらからご登録ください。

-プロダクト＆デザイン担当バイス プレジデント Pali Bhat