TOPセキュリティ > ソフトウエアサプライチェーンのセキュリティーを守るためのツー...

セキュリティ

ソフトウエアサプライチェーンのセキュリティーを守るためのツール7選(中)

2022/06/08

Ericka Chickowski CSO

 オープンソースのライブラリー「Apache Log4j」で2021年12月に見つかった脆弱性は波紋を広げた。今やエンタープライズソフトウエアにとって最大のリスクは、社内のチームが自ら開発するコードのセキュリティーとは限らない。現在のソフトウエアのコードベースではコンポーネントやライブラリーをはじめ、オープンソースの各種のコードが大きな割合を占める。こうしたコードに潜む問題点は表層を見ただけでは分からない。

前回から続く)

サプライチェーンセキュリティーの主要ツール

Credit: Kevin modified by IDG Comm.
Credit: Kevin modified by IDG Comm.

1. Contrast Security

 米Contrast SecurityはIAST(Interactive Application Security Testing)製品で知られる企業。アプリケーションサーバー上で動くエージェントを使って、アプリケーションに潜む脆弱性を検出できる。オープンなプラットフォームの中で、SCAの機能のほか、DAST(Dynamic Application Security Testing)やSAST(Static Application Security Testing)、RAST(Runtime Application Self-Protection)、RASP(Runtime Application Scanning Protection)など、各種テスト機能を提供しているほか、サーバーレス環境のセキュリティーチェックにも対応し、AWS Lambdaをサポートしている。

 SBOMの作成機能に加え、アプリケーションの構成要素の全体像を踏まえて問題点を把握できる機能もある。アプリケーションのアーキテクチャーやコード階層、メッセージフローの情報を視覚化して脅威モデリングの改善を支える。モダンな開発ワークフローとツールの中にオープンソースのガバナンスが組み込まれている。開発者とセキュリティーチームの間の隔たりを埋められる点にContrastの存在価値があり、DevSecOps市場で主要な企業の1つとなっている。

2. Shiftleft

 米ShiftLeftはこの分野では比較的新顔の企業で、先進的なDevOpsチームの開発ワークフローに適合する製品を提供している。SCAとSASTに1回のスキャンで対応でき、開発者がプルリクエストを行った時点で実行できることに基本的な価値がある。CPG(Code Property Graph)という手法を基盤とし、依存関係とデータフローの洗い出しを独自コードやオープンソースライブラリー、SDK、APIの全体に対して行える。オープンソースのコンポーネントを含むアプリケーション全体の問題点を見つけ出せるほか、アプリケーションの論理的な脆弱性も把握できる。サプライチェーンに起因する問題点の優先順位付けには、攻撃の受けやすさの度合いを示す「Reachability(到達可能性)」という尺度が使われる。この尺度はSBOMにも組み込まれ、アプリケーションでのコンポーネントの使われ方に基づいて各部品の攻撃可能度が明らかになる。

↑ページ先頭へ