ソフトウェア サプライ チェーンをより安全にするための 5 つのステップ

※この投稿は米国時間 2022 年 12 月 9 日に、Google Cloud blog に投稿されたものの抄訳です。

本日、ソフトウェア サプライ チェーンのセキュリティに関する新しい Google 調査レポートを公開しました。これは、ソフトウェア サプライ チェーンに対する攻撃がほぼすべてのセクターで急増しているためであり、さらにこの傾向は当面続くことが予想されます。ソフトウェア サプライ チェーンのセキュリティを向上させるために、Google はすべての組織に今すぐ行動することを強くおすすめしています。

レポートの結論には、強調しておきたい 2 つの重要な調査結果があります。1 つ目は、さまざまなセキュリティ イベントから得られた教訓が示すとおり、ソフトウェア サプライ チェーンへの攻撃に対する防御を強化するには、より包括的なアプローチが必要になることです。2 つ目は、Google がセキュリティ コミュニティと連携して、ソフトウェア サプライ チェーン エコシステム全体で脅威を軽減できる共通のソフトウェア アーティファクトのためのサプライチェーン レベル（SLSA）フレームワークを開発およびデプロイしていることです。このフレームワークを利用することで、組織はソフトウェアを安全にビルドし、整合性を検証できます。レポートの結論の詳細については、こちらをご覧ください。

現代のソフトウェア サプライ チェーンは、より深く、より広く、より複雑なものになり続けています。その複雑さにより、お客様にとっては、セキュリティの問題についてサプライ チェーンの分析をどこから始めればよいかを知ることさえ困難になる可能性があります。Google の調査によれば、どのような環境で活動しているかにかかわらず、組織は同様の複雑な問題に対処しなければならないことがわかっています。

Google Cloud は、お客様と協力して、セキュリティ体制、復元性、ハイジーン（衛生状態）を評価するうえで必要なサポートをお客様が確実に受けられるように尽力しています。以下に、プロセスとシステム全体でソフトウェアを保護し、関連する Google Cloud プロダクトとサービスを活用するための 5 つのステップをご紹介します。これらの推奨事項により、お客様は Google がこれまでに得た広範なセキュリティに関する経験を活用できるようになるほか、オープンソースの依存関係を保護するための複雑なプロセスを開発、保守、運用する必要性を低減できます。

Google Cloud でベスト プラクティスを実装する

ソフトウェア サプライ チェーンのセキュリティの向上に関心をお持ちのお客様は、ベスト プラクティスを実装するための措置をすぐに講じることができます。 

1. Google Cloud セキュリティ基盤ガイドを使用して、既存の Google Cloud セキュリティ機能を強化します。このガイドは、組織構造、認証と承認、リソース階層、ネットワーキング、ロギング、検出制御などの重要な考慮事項を検討するうえで役立ちます。Mandiant の専門家とさらに協力して準備状況を評価することもできます。

また、Security Command Center などの Google Cloud サービスを使用して、脆弱性や潜在的なリスクに関する一元化された情報を確認したり、Recommender を使用して、リスクの軽減に役立つ推奨事項など、サービスの使用状況に関する情報を取得したりすることもできます。たとえば、過剰な権限を持つ IAM プリンシパルや、放置された Google Cloud プロジェクトを特定できます。Google 随一のセキュリティ アドバイザリー チームである Google サイバーセキュリティ対応チーム（GCAT）が提供するその他のリソースもこちらからご覧いただけます。

2. Google Cloud の DevOps 機能を使用して、迅速なソフトウェア デリバリー、信頼性、安全性に優れたソフトウェアを探索します。また、ほとんどのプログラミング言語に適用されるコードを設計、開発、テストするための基本的なプラクティスを確認する必要があります。

すべての依存関係について、ソフトウェアの配布方法とソフトウェア ライセンスの条件を評価することを強くおすすめします。オープンソース ソフトウェアの脆弱性に対する組織の対応を支援する Google のアプローチについて詳しくは、調査レポートの付録 B をご覧ください。

3. 組織のポリシーを文書化し、ベスト プラクティスを実装する際にポリシーの検証を開発、ビルド、デプロイ プロセスに組み込みます。たとえば、組織のポリシーには、Binary Authorization で実装するデプロイの基準が含まれている場合があります。GCAT は、セキュリティ ポリシーに関する追加情報と、クラウド セキュリティの変革に関する CISO 向けのその他のヒントをこちらに公開しています。

プロダクトに関するベースラインのセキュリティ体制を確立するための制御のセキュリティ チェックリストである Minimum Viable Secure Product もご覧いただけます。このチェックリストを使用して、最小限のセキュリティ管理要件を確立し、サードパーティ ベンダーによるソフトウェアを評価できます。

Google の新しいプロダクトやサービスを活用する

Google Cloud は、お客様がセキュリティ上の最新の脅威に対処できるよう、新しく革新的なセキュリティ機能を提供することに引き続き注力していきます。SolarWinds への攻撃から Log4j などのオープンソースの脆弱性に対するコミュニティの対応まで、ソフトウェア サプライ チェーンのリスクをお客様が管理できるように Google Cloud が協力できることについてお客様からの需要が急増しています。そうした領域について、Google Cloud の利用を今すぐ開始するお客様に役立つ最新の発表をいくつか行いました。

4. Google Cloud のソフトウェア デリバリー シールドを使用します。このフルマネージド ソフトウェア サプライ チェーン セキュリティ ソリューションはモジュール型の機能セットを提供します。これにより、開発チーム、DevOps チーム、セキュリティ チームは安全なクラウド アプリケーションを構築するために必要なツールを利用できます。ソフトウェア デリバリー シールドの対象は、デベロッパー ツールから、GKE、Cloud Code、Cloud Build、Cloud Deploy、Artifact Registry、Binary Authorization などのランタイムまで、Google Cloud サービスのファミリー全体にわたります。ソフトウェア デリバリー シールドについて詳しくは、ソリューションのページをご覧ください。また、こちらの Google Cloud Next のセッションでは、ソフトウェア デリバリー シールドの簡単な概要をご確認いただけます。

5. Assured Open Source Software（OSS）を有効にします。オープンソース ソフトウェアの企業や公共部門のユーザーは、これにより、Google が使用しているのと同じ OSS パッケージを自社の開発者のワークフローに簡単に取り入れることができます。Assured OSS サービスによってキュレーションされたパッケージには、以下のことが行われます。

• 脆弱性を発見するため、定期的にスキャン、分析、ファズテストを実施

• Container / Artifact Analysis データを含む、強化されたメタデータを用意

• Cloud Build でビルドし、ソフトウェア アーティファクトのためのサプライ チェーンレベル（SLSA）へのコンプライアンスの検証可能な証拠を提供

• Google によって検証可能な形で署名

• Google によって保護された Artifact Registry から配布

ソフトウェア サプライ チェーンのセキュリティ全体について詳しくは、Google にお問い合わせいただくか、営業担当者にご連絡のうえ、ソフトウェア サプライ チェーンのセキュリティに関するワークショップをご予約ください。