20年2024月XNUMX日、ガートナーは影響力のある Lソフトウェアサプライチェーンセキュリティのリーダーガイド, ソフトウェアサプライチェーン攻撃に対する防御の必要性が高まっていることを強調しています。これらの攻撃の頻度と巧妙さが増すにつれて、組織は効果的に管理しなければならない重大なリスクに直面しています。この記事では、ガートナーのレポートの重要な調査結果を解説します。Scribe Securityのソリューションがこれらの推奨事項にどのように適合し、サポートしているかを説明し、組織が管理できるようにします。 ソフトウェアサプライチェーンのセキュリティ (SSCS)を戦略的に活用します。
ガートナーのガイドからの主な調査結果
Gartner のガイドは、組織が SSCS をセキュリティ保護するための戦略的なロードマップを提供します。特定の脅威ベクトルに焦点を当てるのではなく、ソフトウェア開発ライフサイクル全体にわたって統一された戦略、効果的な情報共有、統合されたセキュリティ プラクティスの必要性を強調しています。レポートでは、次の領域を含む SSCS への幅広いアプローチを提案しています。
- 脆弱なオープンソースコード: 多くの組織はオープンソース ソフトウェア (OSS) に依存していますが、適切に管理および監視しないと脆弱性が生じる可能性があります。
- 独自の商法: オープンソースのリスクに加えて、プロプライエタリソフトウェアには、攻撃者が悪用する可能性のある脆弱性が含まれている可能性があります。
- 開発インフラストラクチャ: 安全でない開発パイプラインや不十分なアクセス制御など、開発環境の弱点は、セキュリティ侵害につながる可能性があります。
- オープンソース パッケージ内の悪意のあるコード: 攻撃者は、人気のオープンソース パッケージに悪意のあるコードを挿入する可能性があり、開発者はそれを知らないうちに採用する可能性があります。
- 独自コードの脆弱性: カスタムビルドされたソフトウェアであっても、バグや脆弱性が含まれている可能性があり、それが悪用されると重大なセキュリティインシデントにつながる可能性があります。
ガートナーは、この広範な攻撃対象領域を指摘することで、組織が開発インフラストラクチャにおけるオープンソースおよび独自のリスクと脆弱性に対処する包括的な戦略を策定することを推奨しています。
ソフトウェアサプライチェーン攻撃のコスト上昇
ガートナーは、ソフトウェア サプライ チェーン攻撃の件数とコストが急増していると説明しています。2023 年 138 月の Cybersecurity Ventures/Snyk レポートによると、これらの攻撃による世界的なコストは、2031 年の約 46 億ドルから 2023 年までに約 XNUMX 億ドルに達する可能性があります。これらの数字は、これらの攻撃が世界中の企業に与える重大な経済的影響と、SSCS への投資の重要性を強調しています。
現在の実施努力におけるギャップ
ほとんどの組織がソフトウェア サプライ チェーンのセキュリティの重要性を認識していますが、2023 年のガートナーの調査結果によると、実装の取り組みは断片化され、調整されていないことがよくあります。調査では、組織の XNUMX 分の XNUMX が SSCS イニシアチブに取り組んでいましたが、その取り組みは通常不十分でした。よくある問題として、開発環境のセキュリティに対処せずにアプリケーション セキュリティに重点を置くことがあり、攻撃者が悪用できるギャップが生じます。
SSCS 導入の将来
ガートナーは、計画の前提として、2027 年の 80% から 50 年までに 2023% の組織が SSCS リスクを軽減するために企業全体で特殊なプロセスとツールを導入することを推奨しています。この増加は、SSCS 戦略の重要性と、ソフトウェア開発ライフサイクル全体にわたってセキュリティを統合するソリューションの必要性に対する認識の高まりを反映しています。
調整と自動化の重要性
効果的な SSCS を確立するために、ガートナーは組織全体の調整と情報共有の必要性について論じています。自動化はこの戦略において重要な役割を果たし、ソフトウェア開発ライフサイクル全体にわたってセキュリティ ポリシーの一貫した施行とタイムリーなセキュリティ評価を可能にします。自動化されたプロセスにより、手動介入への依存が軽減され、人的エラーが最小限に抑えられ、コード作成から展開までの開発のすべての段階でセキュリティ対策が一貫して適用されます。
Scribe Securityのプラットフォーム は、リアルタイムの脅威検出、コンプライアンス監視、ポリシー適用を強化する自動化プロセスを組み込むことで、これらの原則に準拠しています。SSCS ソリューションの一部として自動化を提供することで、プロアクティブで効率的なリスク管理が保証され、組織が新たな脅威を回避できるようになります。
ステークホルダーの調整
効果的な SSCS には、セキュリティ チーム、ソフトウェア エンジニアリング、調達、ベンダー リスク管理、運用セキュリティなど、さまざまな関係者間の連携が必要です。各グループは、安全なソフトウェア サプライ チェーンを維持する役割を果たしており、これらの関係者間の調整により、一貫した SSCS 標準とプラクティスが確保されます。
Scribe Security のコラボレーション プラットフォームは、コミュニケーションと情報共有を可能にし、セキュリティ データの統一されたビューを提供することで、組織間の調整を促進します。これは、たとえば、潜在的な脅威に迅速に対応し、SSCS への一貫したアプローチを維持するのに役立ちます。
ツールとテクノロジー
現代のソフトウェア サプライ チェーンの複雑さを考慮して、ガートナーは SSCS ライフサイクルのさまざまなフェーズをサポートするようにカスタマイズされた専用ツールの使用を推奨しています。組織は、まず重要なフェーズを評価して、ニーズに最も適したツールと機能を優先する必要があります。Scribe Security は、開発から展開、さらにそれ以降まで、ソフトウェア ライフサイクル全体にわたってリスクを管理するように設計された包括的なツール スイートを提供します。
ソフトウェア サプライ チェーン セキュリティの 3 つの柱と Scribe の取り組み
Gartner は、適切なソフトウェア サプライ チェーン セキュリティを実現するための 3 つの重要な柱として、キュレーション、作成、および消費を挙げています。これらの柱は、組織が効果的な SSCS 戦略を開発するためのフレームワークを構成します。Scribe Security は、これらの柱のそれぞれに沿った機能を提供し、ソフトウェア サプライ チェーンのあらゆる側面を保護します。
1. キュレート
キュレーションには、ソフトウェア開発ライフサイクル中に依存関係として使用されるサードパーティ ライブラリに関連するリスクの管理が含まれます。サードパーティ コンポーネントは、適切に検査および監視されていない場合、脆弱性をもたらす可能性があります。Gartner は、セキュリティ、運用リスク、法令遵守、および自動化されたポリシー適用について依存関係を評価するプロセスとツールを実装し、リスクのある依存関係や承認されていない依存関係の使用を防ぐことを推奨しています。
Scribe が Curate の柱とどのように連携するか:
- 依存関係の自動分析: Scribe は、開発前、開発中、開発後にソフトウェアの依存関係を自動的に分析します。この継続的な監視により、依存関係の変更が自動的に評価され、潜在的なセキュリティ リスクが排除されます。
- 包括的な情報収集: Scribe は、既知の脆弱性、レピュテーション スコア (OpenSSF など)、利用可能な修正プログラム、ライセンス情報など、各依存関係に関する詳細な情報を収集します。このデータは、組織がどの依存関係を使用するかについて情報に基づいた決定を下すのに役立ちます。
- 強化されたソフトウェア部品表 (SBOM) インベントリ: Scribe は、充実した SBOM インベントリですべての依存関係情報を管理します。このインベントリは、すべてのソフトウェア コンポーネントを明確かつ包括的に表示し、リスクの追跡と管理を容易にします。
- 自動ポリシー適用: Scribe は、事前定義された基準に基づいて、外部依存関係を警告、ブロック、または許可するための自動化されたポリシーを適用します。これらのポリシーは、セキュリティ、運用、法的、コンプライアンスのリスクに対処でき、コードとして高度にカスタマイズ可能で、GitOps でネイティブに管理されます。このアプローチにより、安全で承認された依存関係のみの使用が促進されます。
2。 作ります
作成の柱は、開発プロセスのさまざまな段階で悪意のあるコード インジェクションからソフトウェアを保護することに重点を置いています。そのためには、依存関係の追跡、開発環境の保護、成果物の出所と整合性の確保、厳格なセキュリティ制御とポリシーの実装が必要です。
Scribe が Create Pillar とどのように連携するか:
- トップダウンのセキュリティアプローチ: Scribe は、トップダウン アプローチを使用して、開発ライフサイクル全体にわたってソフトウェアを保護します。このアプローチでは、コードの作成からクラウド展開やリリースまで、組織全体のすべてのソフトウェア開発ライフサイクル (SDLC) パイプラインを検出します。
- 継続的な監視: Scribe は、展開前と展開後のフェーズを含む開発ライフサイクル全体を監視します。この継続的な監視により、開発のあらゆる段階でセキュリティ リスクを特定し、軽減することができます。
- アーティファクトの暗号署名: Scribe は、中間成果物と最終成果物の証拠とすべてのハッシュが暗号署名されていることを保証します。この方法により、構築されたすべての成果物の出所がすぐにわかるようになり、ソフトウェア コンポーネントの整合性と信頼性が保証されます。
- ナレッジグラフと SBOM インベントリ: Scribe の証拠ストアはナレッジ グラフおよび SBOM インベントリとして機能し、プロジェクトや本番環境で使用されるすべてのコンポーネントをコンテキストとともに追跡します。この追跡により、新しい脆弱性が公開されたときに、脆弱なアーティファクトの存在に関するリアルタイムのアラートが可能になります。
- ポリシーの施行: Scribe は、ビルド プロセス、アドミッション コントロール、オフライン リポジトリ スキャン中にセキュリティ ポリシーを適用します。これらのポリシーは GitOps でコードとして管理され、SDLC の不可欠な部分となり、セキュリティ コントロールが一貫して適用されるようになります。
- コンプライアンスブループリント: Scribe は、製品ごと、バージョンごとにコンプライアンスを強制または監視するための Supply Chain Levels for Software Artifacts (SLSA) や Secure Software Development Framework (SSDF) などのフレームワーク ブループリントを提供しています。これらのブループリントは、セキュリティとコンプライアンスに対する標準化されたアプローチを提供し、組織が業界標準を満たすのに役立ちます。
3. 消費する
消費の柱は、市販の既製品 (COTS) か OSS かを問わず、サードパーティのパッケージ ソフトウェアに関連するリスクを軽減します。これには、取得前のソフトウェアの評価、ソフトウェア構成の透明性の確保、特殊なテストの実施、SBOM やその他のセキュリティ アーティファクトに対する堅牢なプロセスの実装が含まれます。
Scribe が消費の柱とどのように連携するか:
- SSCS ステークホルダーのための共同プラットフォーム: Scribe は、組織内外の SSCS 関係者間のコミュニケーションと情報共有を促進するコラボレーション プラットフォームを提供します。Scribe ベンダーは、SBOM、Vulnerability Exchange (VEX) アドバイザリ、および SLSA の起源などのコンプライアンス証明書を顧客と共有できます。
- 統一された真実の源: Scribe を使用すると、開発者、セキュリティ オペレーション センター (SOC)、ガバナンス、リスク、コンプライアンス (GRC) チーム、法務部門など、さまざまな社内関係者が統一された真実のソースを表示できます。この集中化されたビューにより、ソフトウェア製品のライフサイクル全体にわたって許容可能なリスク ポリシーが適用されます。
- 積極的なベンダーエンゲージメント: Scribe は、組織がベンダーと積極的に連携してコンプライアンスとセキュリティを確保できるよう支援します。これは、透明性と徹底的な評価を重視する Gartner の方針と一致しています。Scribe のプラットフォームにより、組織はベンダーのセキュリティ プラクティスを追跡し、サードパーティ ソフトウェアがセキュリティ標準を満たしていることを確認できます。
- SBOMの生成と管理: Scribe を使用すると、ソフトウェア コンシューマーは、受信したソフトウェア成果物の SBOM を生成したり、ベンダーが提供する SBOM と VEX データを取り込んだりすることができます。この機能により、コンシューマーはパッケージ化された製品で使用されるすべてのコンポーネントの最新のインベントリを維持し、新しい脆弱性を監視し、リスクを軽減するためにタイムリーなアクションを実行できます。
- インシデント対応サポート: 収集された証拠と、リリースされたソフトウェア成果物の系統がマップされることで、説明責任が確立され、インシデント対応のための重要なフォレンジック情報が提供されます。この機能により、組織はセキュリティ インシデントに迅速かつ効果的に対応する能力が強化されます。
Scribe Security を選ぶ理由
Scribe Security は、自動化、調整、プロアクティブなリスク管理を重視する Gartner の方針に沿って、ソフトウェア サプライ チェーンのセキュリティに対する幅広く統合されたアプローチを提供します。Scribe のソリューションは組織の SDLC に組み込まれており、セキュリティ証拠の生成を自動化し、整合性と出所の制御を適用し、ソフトウェア ライフサイクル全体にわたってガードレールとしてポリシーを適用します。
Scribe Security の主な利点:
- エンドツーエンドの自動化: Scribe はセキュリティ プロセスを自動化し、手動による監視の必要性を減らし、コンプライアンス チェックを高速化します。これには、ビルドおよびデプロイメント フェーズ中の自動コンプライアンス チェック、アーティファクトの署名、コード レビュー、セキュリティ スキャナーの実装、重大な脆弱性の修復が含まれます。
- ステークホルダー間のコラボレーション: Scribe のプラットフォームは、コンテキスト、サプライ チェーン インテリジェンス、ソフトウェア アーティファクトの追跡を提供する単一の真実のソースとして機能し、関係者のコラボレーションを強化します。これにより、さまざまな部門や外部パートナーとのセキュリティ管理の協調的な取り組みがサポートされます。
- ベンダーリスク管理: Scribe は、組織が SBOM、SLSA の起源、コンプライアンス証明などの重要なサプライ チェーンの証拠を評価および管理できるようにすることで、ベンダー リスク管理を強化します。この機能により、プロデューサーとコンシューマーは、ソフトウェア サプライ チェーンがセキュリティと規制の標準を満たしていることを確認できます。
- アプリケーション セキュリティ スキャナーとの統合: Scribe は一般的なアプリケーション セキュリティ スキャナーと統合されており、組織は検出結果にセキュリティ ポリシーを適用し、全体的なセキュリティ体制の統一されたビューを維持できます。
ソフトウェア サプライ チェーンのセキュリティに対するアプローチを変革する準備はできていますか?
ガートナー ソフトウェアサプライチェーンセキュリティのリーダーガイド 組織が包括的かつ調整された SSCS 戦略を採用することが極めて重要であることを強調しています。組織は、キュレーション、作成、消費という 3 本柱のフレームワークを実装し、Scribe Security が提供するような高度なツールとプロセスを活用することで、リスクを効果的に管理し、セキュリティを強化し、規制要件への準拠を確保できます。ソフトウェア サプライ チェーン攻撃の経済的影響が増大し、規制環境が進化しているため、組織は SSCS の取り組みを優先する必要があります。
Scribe Securityプラットフォームの活用方法をまとめたチートシートです。さらに詳しく知りたい場合は デモを予約する 実際に見てみましょう。
このコンテンツは、エンドツーエンドのソフトウェア サプライ チェーン セキュリティ ソリューションの大手プロバイダーである Scribe Security によって提供されており、ソフトウェア サプライ チェーン全体のコード成果物とコード開発および配信プロセスに最先端のセキュリティを提供しています。 詳しくはこちら。