セキュリティ体制を評価する

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

セキュリティ体制は、脅威を検出、対処、修正するための組織の機能です。ソフトウェア ライフサイクル全体にわたる担当者、ハードウェア、ソフトウェア、ポリシー、プロセスの準備状況が含まれます。

セキュリティ体制の評価と脅威の軽減方法の特定に使用できるフレームワークとツールがいくつかあります。

ソフトウェア デリバリーのプラクティス

強固なセキュリティ体制のためには、ソフトウェア デリバリーのベスト プラクティスにおける強固な基盤が必要であり、これらのプラクティスはツールや技術的な管理の実装だけではありません。たとえば、変更承認プロセスが不明な場合、望ましくない変更がソフトウェアのサプライ チェーンに入りやすくなります。チームで問題の提起が推奨されない場合、セキュリティ上の懸念をレポートすることを躊躇する可能性があります。

DevOps Research and Assessment(DORA)は、高パフォーマンス テクノロジー チームのプラクティスや機能に関する独立した研究に取り組んでいます。チームのパフォーマンスを評価し、改善する方法については、次の DORA リソースをご覧ください。

  • DORA DevOps Quick Check を受けて、組織の比較について簡単なフィードバックを受ける。
  • DORA によって特定される技術、プロセス、測定、文化に関する DevOps の機能を確認する。

セキュリティ体制のためのフレームワーク

NIST セキュア ソフトウェア開発フレームワーク(SSDF)とサイバーセキュリティ評価フレームワーク(CAF)は、政府機関が開発したフレームワークで、組織によるセキュリティ体制の評価とサプライ チェーンの脅威に対する緩和に役立ちます。これらのフレームワークでは、ソフトウェア開発ライフサイクルだけでなく、インシデント対応計画などソフトウェア セキュリティに関するその他の側面も考慮されます。これらのフレームワークの複雑さとスコープは、時間とリソースに多大な投資が必要になります。

ソフトウェア アーティファクトのサプライ チェーン レベル(SLSA)は、評価と軽減策の実装をより簡単で段階的なものにするフレームワークです。サプライ チェーンの脅威と、関連する緩和策について説明し、緩和策を実装するためのツールの例を示します。また、変更に段階的に実装できるように、レベルでセキュリティ体制を強化するための要件をグループ化します。SLSA は主にソフトウェア デリバリー パイプラインに重点を置いているため、SSDSA や CAF などの他の評価ツールと組み合わせて使用する必要があります。

SLSA は、Google の本番環境ワークロードすべてに必須の適用チェックである Google の内部 Binary Authorization for Borg から着想を得ています。

Software Delivery Shield は、Google Cloud 上のフルマネージド ソフトウェア サプライ チェーン セキュリティ ソリューションで、SLSA のベスト プラクティスを組み込んでいます。ビルドの SLSA レベルなど、セキュリティ体制に関する分析情報を表示できます。

アーティファクトと依存関係の管理

ソフトウェアの脆弱性を可視化することで、脅威を先回りして修正し、アプリケーションをお客様にリリースできます。次のツールを使用して、脆弱性を可視化できます。

脆弱性スキャン
Container Analysis などの脆弱性スキャン サービスを使用すると、ソフトウェアの既知の脆弱性を特定できます。
依存関係の管理

Open Source Insights は、オープンソース ソフトウェアに関連する依存関係グラフ、既知の脆弱性、ライセンスに関する情報を一元的に提供します。サイトを使用して依存関係を確認します。

Open Source Insights プロジェクトでは、このデータを Google Cloud データセットとしても利用できます。BigQuery を使用して、データを探索および分析できます。

ソース コントロール ポリシー

Scorecards は、GitHub プロジェクトでリスクのあるソフトウェア サプライ チェーンのプラクティスを識別する自動ツールです。

Allstar は、GitHub の組織やリポジトリを継続的にモニタリングし、構成済みのポリシーへの準拠を確認する GitHub アプリです。たとえば、管理者または push アクセス権を持つ組織外の共同編集者をチェックするポリシーを GitHub 組織に適用できます。

依存関係の管理の詳細については、依存関係の管理をご覧ください。

サイバーセキュリティに関するチームの認知度

チームがソフトウェア サプライ チェーンの脅威とベスト プラクティスを理解している場合は、より安全なアプリケーションを設計、開発できます。

情報セキュリティの専門家による調査「State of Cybersecurity 2021, Part 2」では、調査回答者が、サイバーセキュリティのトレーニングと意識付けのプログラムが従業員の認知度にある程度のプラスの影響(46%)、または強力にプラスの影響(32%)をもたらしたと報告しています。

次のリソースは、Google Cloud 上のサプライ チェーンのセキュリティとセキュリティの詳細に役立ちます。

変更の準備

加える変更を特定したら、変更を計画する必要があります。

  • サプライ チェーンの信頼性とセキュリティを高めるためのベスト プラクティスと緩和策を特定します。
  • チームが変更を実装してコンプライアンスが一貫して測定されるように、ガイドラインとポリシーを作成します。たとえば、企業のポリシーには、Binary Authorization を使用して実装するデプロイの条件が含まれる場合があります。次のリソースも役立ちます。

  • 段階的な変更を計画して、各変更のサイズ、複雑さ、影響を軽減します。また、チームメンバーがそれぞれの変更に合わせて調整し、フィードバックを提供し、学んだ教訓を将来の変更に適用することもできます。

変更の計画と実装に役立つリソースを以下に示します。

次のステップ