オープンソース・ソフトウェアを使用するメリットとして、ソースコードへのアクセス、コスト削減、柔軟性、カスタマイズ性、コミュニティ・サポート、最先端技術の利用可能性などが挙げられます。しかし依然として、アプリケーションの成果物はホスト・セキュリティやコード・インジェクション、認証情報の窃盗、コンテナ・イメージの脆弱性などのセキュリティ問題に対して脆弱であり、ビジネスを危険にさらす可能性があります。
現代のアプリケーション開発プロセスにおける、組織の最大の懸念事項のひとつは、秘密情報や認証情報の漏洩です。GitHub、SourceForge、Bitbucket、GitLabのようなパブリックリポジトリの利用が急増する中、コードリポジトリは秘密漏洩の最も重要な原因のひとつとなっており、ヒューマンエラーや設定ミスがアプリケーション開発プロセスにおける最も重大な脆弱性要因となっています。
組織は、クラウドネイティブ・アプリケーションのライフサイクル全体を通じて、クラウドインフラ、ワークロード、オープンソース・ソフトウェア、成果物、CI/CDパイプラインのすべてのリスクを最小限に抑えるために、セキュリティのシフトレフトに焦点を当ててセキュリティ保護を強化する必要があります。HubSpotとSegmentは、マーケティング、セールス、カスタマーサービス、オペレーション、コンテンツ管理、顧客データ管理プラットフォームなど、さまざまなビジネス機能ツールを提供するソフトウェアをメインで扱う企業です。両社は多くの顧客とそのデータを扱っており、ウェブアプリケーションと特権アクセスを持つユーザーアカウントセキュリティのシフトレフトに重点を置く必要があります。Gong、ZoomInfo、 Salsifyといった、最新のビジネスアプリケーションと他のビジネスソリューションとのAPI統合を提供する企業にとって、DevOpsワークフローにおける認証情報と機密情報の保護は非常に重要です。
CI/CDパイプラインのセキュリティから始まるセキュリティのシフトレフト
セキュリティのシフトレフトは、セキュアなソフトウェア開発ライフサイクルの不可欠な要素となっており、セキュリティ対策をできるだけ早い段階で開発プロセスに統合することを重視しています。CI/CDパイプラインのセキュリティもまた、 DevOpsプロセスの重要な一部となっており、コードが開発され、リポジトリにコミットされると、アプリケーションのビルド、テスト、デプロイメントを自動化する。しかし、CI/CDパイプラインは、組織に深刻な影響をもたらす多くのセキュリティリスクに直面している。これには、安全でないコード、秘密情報や資格情報の暴露、 CI/CDパイプラインツールのセキュリティの誤設定、特権アクセス制御の欠如、オープンソース・ソフトウェアのセキュリティ(サプライチェーンセキュリティ)などが含まれます。
つまり、CI/CDパイプラインにセキュリティを組み込むことは不可欠であり、組織はDevSecOpsの概念と文化を受け入れる必要があるということです。CI/CDパイプラインのセキュリティのための主な技術には、ソース構成分析(SCA)、アプリケーションコードの脆弱性スキャニングのためのソースコードスキャニングによるセキュリティテスト(SAST)、機能テスト、アクセス制御、秘密管理、コンテナイメージの脆弱性スキャニングのためのレジストリスキャニング、ランタイムセキュリティのための動的アプリケーションセキュリティテスト(DAST)が含まれます。
オープン・ソース・ソフトウェアを利用することで、ソース・コードへのアクセス、コスト削減、柔軟性、カスタマイズ性、コミュニティによるサポート、最先端技術へのアクセスなど、多くのメリットを享受することができます。チェック・ポイントの CloudGuard は、すべての CI/CD ツールと統合することで、ビルド時の機密保護プロセスを自動化し、サプライ・チェーンのギャップを発見・監視して、CI/CD プロセス全体のリスク管理をサポートします。
まとめ:
● CI/CDパイプラインのセキュリティは、DevOpsプロセスの重要な一部であり、ソフトウェア
開発ライフサイクルの各段階でセキュリティを組み込む必要があります。
● チェック・ポイント・テクノロジーズが提供するCloudGuardは、企業が抱えるコードから
クラウドに至るまでのセキュリティ問題に対処するための総合的なソリューションであり、
開発者に焦点を当てたエンドツーエンドのセキュリティを CI/CDパイプラインに提供することが
できます。
● 企業は、DevSecOpsプラクティスとテクノロジーを導入することで、セキュリティを向上させ
ながらコストを大幅に削減し、市場投入までの時間を短縮することができます。
【フロスト&サリバンについて(本社:米国)】
フロスト・アンド・サリバン・ジャパン株式会社
沿革:2009年3月 日本支社「フロスト&サリバン インターナショナル」設立
2014年1月 日本法人「フロスト&サリバン ジャパン株式会社」設立
代表者:山村浩(代表取締役)
所在地:〒107-6123 東京都港区赤坂5丁目2番20号 赤坂パークビル23階
URL: https://frost.co.jp/
本リリースに関するお問い合わせ
担当:浦
Email: marketing.jp@frost.com