セキュリティ体制は、脅威を検出、対処、修正するための組織の機能です。これには、ソフトウェアのライフサイクル全体にわたる組織の人材、ハードウェア、ソフトウェア、ポリシー、プロセスの準備が含まれます。
セキュリティ対策を評価し、脅威を軽減する方法を特定するために使用できるフレームワークとツールは数多くあります。
ソフトウェア デリバリーのプラクティス
強固なセキュリティ体制のためには、ソフトウェア デリバリーのベスト プラクティスにおける強固な基盤が必要であり、これらのプラクティスはツールや技術的な管理の実装だけではありません。たとえば、変更承認プロセスが明確でない場合、不要な変更がソフトウェア サプライ チェーンに侵入しやすくなります。チームで問題の提起が推奨されない場合、セキュリティ上の懸念をレポートすることを躊躇する可能性があります。
DevOps Research and Assessment(DORA)は、高パフォーマンスのテクノロジー チームのプラクティスと能力に関する独立した調査を行っています。チームのパフォーマンスを評価し、改善する方法については、次の DORA リソースをご覧ください。
- DORA DevOps Quick Check を受けて、組織の比較について簡単なフィードバックを受ける。
- DORA が特定した技術、プロセス、測定、文化に関する DevOpsの 機能を確認する。
セキュリティ対策のフレームワーク
NIST セキュア ソフトウェア開発フレームワーク(SSDF)とサイバーセキュリティ評価フレームワーク(CAF)は、政府機関が開発したフレームワークで、組織によるセキュリティ体制の評価とサプライ チェーンの脅威に対する緩和に役立ちます。これらのフレームワークでは、ソフトウェア開発ライフサイクルだけでなく、インシデント対応計画などのソフトウェア セキュリティに関連するその他の側面も考慮されています。これらのフレームワークは複雑で、その範囲が広大であるため、時間とリソースに多大な投資が必要になります。
ソフトウェア アーティファクトのサプライ チェーン レベル(SLSA)は、評価と軽減策の実装をより簡単で段階的なものにするフレームワークです。サプライ チェーンの脅威と、関連する緩和策について説明し、緩和策を実装するためのツールの例を示します。また、セキュリティ体制を強化するための要件をレベルごとにグループ化し、変更に優先順位を付けて段階的に実装できるようにします。SLSA は主にソフトウェア配信パイプラインに焦点を当てているため、SSDF や CAF などの他の評価ツールと併用する必要があります。
SLSA は、Google の本番環境ワークロードすべてに必須の適用チェックである Google の内部 Binary Authorization for Borg から着想を得ています。
Google Cloud は、SLSA のベスト プラクティスを組み込んだモジュラーな機能とツールを提供します。ビルドの SLSA レベルなど、セキュリティ体制に関する分析情報を表示できます。
アーティファクトと依存関係の管理
ソフトウェアの脆弱性を可視化することで、アプリケーションをお客様にリリースする前に、潜在的な脅威に事前に対応して修正できます。次のツールを使用すると、脆弱性をより詳細に把握できます。
- 脆弱性スキャン
- Artifact Analysis などの脆弱性スキャン サービスを使用すると、ソフトウェアの既知の脆弱性を特定できます。
- 依存関係の管理
Open Source Insights は、依存関係グラフ、既知の脆弱性、オープンソース ソフトウェアに関連するライセンスに関する情報を一元的に扱うソースです。このサイトを使用して依存関係を確認してください。
Open Source Insights プロジェクトでは、このデータを Google Cloud データセットとして利用することもできます。BigQuery を用いて、データを探索、分析できます。
- ソース管理ポリシー
Scorecards は、GitHub プロジェクト内のリスクのあるソフトウェア サプライ チェーンの運用を特定する自動ツールです。
Allstar は、構成済みのポリシーへの準拠に関して、GitHub 組織やリポジトリを継続的にモニタリングする GitHub アプリです。たとえば、管理者権限や push アクセス権を持つ組織外の共同編集者をチェックするポリシーを GitHub 組織に適用できます。
依存関係の管理の詳細については、依存関係の管理をご覧ください。
サイバーセキュリティに関するチームの意識
チームがソフトウェア サプライ チェーンの脅威とベスト プラクティスを理解していれば、より安全なアプリケーションを設計、開発できます。
情報セキュリティの専門家による調査「State of Cybersecurity 2021, Part 2」では、調査回答者が、サイバーセキュリティのトレーニングと意識付けのプログラムが従業員の認知度にある程度のプラスの影響(46%)、または強力にプラスの影響(32%)をもたらしたと報告しています。
次のリソースは、サプライ チェーンのセキュリティと Google Cloud でのセキュリティの詳細を確認するのに役立ちます。
- Google Cloud エンタープライズ基盤のブループリントでは、組織構造、認証と認可、リソース階層、ネットワーキング、ロギング、検出コントロールなどの設定について説明しています。これは、Google Cloud セキュリティ ベスト プラクティス センターのガイドの 1 つです。
- 安全なソフトウェアの開発では、ソフトウェア サプライ チェーンのセキュリティの観点からの基本的なソフトウェア開発手法を学ぶことができます。このコースでは、コードの設計、開発、テストに関するベスト プラクティスに重点を置いていますが、脆弱性開示の処理、保証ケース、ソフトウェアの配布とデプロイに関する考慮事項などのトピックも取り上げます。Open Source Security Foundation(OpenSSF)が作成するトレーニング。
変更への準備
変更する内容を特定したら、変更を計画する必要があります。
- サプライ チェーンの信頼性とセキュリティを向上させるためのベスト プラクティスと緩和策を特定します。
チームが変更を実装し、コンプライアンスを一貫して測定できるように、ガイドラインとポリシーを策定します。たとえば、会社のポリシーに、Binary Authorization で実装するデプロイの基準が含まれている場合があります。以下のリソースが役に立ちます。
- 実用最小限の安全なプロダクト。プロダクトに関するベースラインのセキュリティ体制を確立するための制御のセキュリティ チェックリスト。このチェックリストを使用して、最小限のセキュリティ管理要件を確立し、サードパーティ ベンダーによるソフトウェアを評価できます。
- NIST の情報システムおよび組織のセキュリティおよびプライバシー管理(SP 800-53)。
各変更のサイズ、複雑さ、影響を軽減するために、増分変更を計画します。これは、チームのメンバーがそれぞれの変更に適応し、フィードバックを提供し、得られた教訓を今後の変更に適用するうえでも役立ちます。
変更の計画と実装に役立つリソースは次のとおりです。
DevOps 変革の ROI は、DevOps 変革の価値を予測し、投資の正当性を示す方法について説明するホワイトペーパーです。
Google のクラウド アプリケーション モダナイゼーション プログラムは、主な成果(スピードと安定性、バーンアウト)を測定し、組織がこれらの成果を改善する技術、プロセス、文化に関する能力を特定する、包括的なガイダンス評価を提供します。プログラムの詳細については、CAMP のお知らせに関するブログ投稿をご覧ください。
変革の方法では、変更を計画して実装するためのガイダンスを示します。段階的な継続的な変革をサポートする文化を育むことで、変革の成果が向上します。
NIST セキュア ソフトウェア デリバリー フレームワークでは、ソフトウェア アライアンス、オープン ウェブ アプリケーション セキュリティ プロジェクト、SAFECode などの組織の確立されたプラクティスに基づく、ソフトウェア セキュリティのプラクティスが説明されています。これには、組織を準備するための一連のプラクティスと、変更の実装と脆弱性への対応のためのプラクティスが含まれます。
次のステップ
- ソフトウェア サプライ チェーンを保護するためのベスト プラクティスについて学習する。
- ソフトウェア サプライ チェーンのセキュリティと、ソフトウェア サプライ チェーンの保護に役立つ Google Cloud プロダクトと機能について学習します。