企業がバックエンド・インフラや顧客向けアプリケーションを構築、運用、管理する方法を、クラウドネイティブ・テクノロジーが一変させました。しかし、その複雑さと脆弱性により、新たなセキュリティ脅威も生じています。
Infrastructure as Code(IaC)、サーバーレス・コンピューティングまたは Function as a Service(FaaS)、コンテナ、その他の継続的インテグレーションまたは継続的デプロイメント(CI/CD)ツールが、アプリケーション開発とクラウド・デプロイメントに使用されています。しかし、これらの技術はそれぞれ、ハッカーがクラウドシステムに侵入するために悪用する攻撃の手段となる可能性を持っています。
オープンソース・ソフトウェアを使用するメリットとして、ソースコードへのアクセス、コスト削減、柔軟性、カスタマイズ性、コミュニティ・サポート、最先端技術の利用可能性などが挙げられます。しかし依然として、アプリケーションの成果物はホスト・セキュリティやコード・インジェクション、認証情報の窃盗、コンテナ・イメージの脆弱性などのセキュリティ問題に対して脆弱であり、ビジネスを危険にさらす可能性があります。
現代のアプリケーション開発プロセスにおける、組織の最大の懸念事項のひとつは、秘密情報や認証情報の漏洩です。GitHub、SourceForge、Bitbucket、GitLabのようなパブリックリポジトリの利用が急増する中、コードリポジトリは秘密漏洩の最も重要な原因のひとつとなっており、ヒューマンエラーや設定ミスがアプリケーション開発プロセスにおける最も重大な脆弱性要因となっています。
組織は、クラウドネイティブ・アプリケーションのライフサイクル全体を通じて、クラウドインフラ、ワークロード、オープンソース・ソフトウェア、成果物、CI/CDパイプラインのすべてのリスクを最小限に抑えるために、セキュリティのシフトレフトに焦点を当ててセキュリティ保護を強化する必要があります。HubSpotとSegmentは、マーケティング、セールス、カスタマーサービス、オペレーション、コンテンツ管理、顧客データ管理プラットフォームなど、さまざまなビジネス機能ツールを提供するソフトウェアをメインで扱う企業です。両社は多くの顧客とそのデータを扱っており、ウェブアプリケーションと特権アクセスを持つユーザーアカウントセキュリティのシフトレフトに重点を置く必要があります。Gong、ZoomInfo、Salsifyといった、最新のビジネスアプリケーションと他のビジネスソリューションとのAPI統合を提供する企業にとって、DevOpsワークフローにおける認証情報と機密情報の保護は非常に重要です。
CI/CDパイプラインのセキュリティから始まるセキュリティのシフトレフト
セキュリティのシフトレフトは、セキュアなソフトウェア開発ライフサイクルの不可欠な要素となっており、セキュリティ対策をできるだけ早い段階で開発プロセスに統合することを重視しています。CI/CDパイプラインのセキュリティもまた、 DevOpsプロセスの重要な一部となっており、コードが開発され、リポジトリにコミットされると、アプリケーションのビルド、テスト、デプロイメントを自動化する。しかし、CI/CDパイプラインは、組織に深刻な影響をもたらす多くのセキュリティリスクに直面している。これには、安全でないコード、秘密情報や資格情報の暴露、 CI/CDパイプラインツールのセキュリティの誤設定、特権アクセス制御の欠如、オープンソース・ソフトウェアのセキュリティ(サプライチェーンセキュリティ)などが含まれます。
つまり、CI/CDパイプラインにセキュリティを組み込むことは不可欠であり、組織はDevSecOpsの概念と文化を受け入れる必要があるということです。CI/CDパイプラインのセキュリティのための主な技術には、ソース構成分析(SCA)、アプリケーションコードの脆弱性スキャニングのためのソースコードスキャニングによるセキュリティテスト(SAST)、機能テスト、アクセス制御、秘密管理、コンテナイメージの脆弱性スキャニングのためのレジストリスキャニング、ランタイムセキュリティのための動的アプリケーションセキュリティテスト(DAST)が含まれます。
オープン・ソース・ソフトウェアを利用することで、ソース・コードへのアクセス、コスト削減、柔軟性、カスタマイズ性、コミュニティによるサポート、最先端技術へのアクセスなど、多くのメリットを享受することができます。チェック・ポイントの CloudGuard は、すべての CI/CD ツールと統合することで、ビルド時の機密保護プロセスを自動化し、サプライ・チェーンのギャップを発見・監視して、CI/CD プロセス全体のリスク管理をサポートします。
まとめ:
- CI/CDパイプラインのセキュリティは、DevOpsプロセスの重要な一部であり、ソフトウェア開発ライフサイクルの各段階でセキュリティを組み込む必要があります。
- チェック・ポイント・テクノロジーズが提供するCloudGuardは、企業が抱えるコードからクラウドに至るまでのセキュリティ問題に対処するための総合的なソリューションであり、開発者に焦点を当てたエンドツーエンドのセキュリティを CI/CDパイプラインに提供することができます。
- 企業は、DevSecOpsプラクティスとテクノロジーを導入することで、セキュリティを向上させながらコストを大幅に削減し、市場投入までの時間を短縮することができます。
