ソフトウェアのセキュリティ確保において、SBOM(Software )は極めて重要な要素ですが、SBOMだけではリスクを特定するにとどまります。SBOMをスキャン、ポリシーの適用、データ漏洩防止と組み合わせ、安全でないソフトウェアを積極的にブロックすることで、予防的なセキュリティ対策が強化されます。
ソフトウェアの構成要素を把握するだけでは不十分です。システムを積極的に保護するための対策を講じる必要があります。ここでは、その重要性と、DevSecOpsチームがSBOMを超えてセキュリティを強化する方法について解説します。
「ポストSBOMセキュリティ」とは何か
SBOMを作成したからといって、リスクがなくなるわけではありません。実際、SBOMの作成後に多くのリスクが表面化することもあります。コンポーネントは時間の経過とともに脆弱性を抱えるようになる可能性があり、本来は信頼できるバイナリにマルウェアが埋め込まれている場合や、機密データが誤って含まれてしまう場合もあります。サードパーティ製のアートファクトでさえ、監視の目を逃れてビルドパイプラインを通過してしまう可能性があります。
SBOMを作成した後も、ソフトウェアのセキュリティを確保するためには、まだやるべきことが山積みです。次のステップでは、システムを保護するために、積極的にスキャンを行い、ポリシーを適用していきます:
- 実際のソフトウェア成果物を確認してください。
- 複数の検出エンジンを使用してマルウェアをスキャンします。
- 機密情報の漏洩がないか確認してください。
- 既存のSBOMを検証し、レポートデータを充実させる。
- セキュリティポリシーを自動的に適用し、リスクのあるソフトウェアをブロックします。
多層的なSupply Chain Software Supply Chain を保護する
アーティファクトがパイプラインに取り込まれる際、その出所は多岐にわたります。社内ビルド、オープンソースプロジェクト、コンテナ、サードパーティなどです。出所にかかわらず、各アーティファクトはその実際の内容に基づいて評価されます。セキュリティリスクは、ラベルや出所情報だけから生じるものではなく、ソフトウェアの内部に実際に何が含まれているかによって生じるものです。
ここで、ソフトウェア・サプライチェーン・セキュリティ(SSCS)が重要な役割を果たします。SSCSは、SBOMを最終的なチェックポイントとして扱うのではなく、継続的なセキュリティ対策の一環として位置づけています。ソフトウェア・アーティファクトが開発者のワークステーションに持ち込まれると、SSCSソリューションは継続的な検査と制御を行い、信頼できるソフトウェアのみがパイプラインの次の段階へ進むことを保証します。
Software 内の悪意のあるパッケージを検出する
MetaDefender Software Supply Chain は、ソフトウェアコンポーネント自体を検査し、依存関係リストの枠を超えた詳細な分析を行います。
この検査の重要な要素は、マルチエンジンによるマルウェアスキャンです。各アーティファクトは、単一の判定結果に依存するのではなく、複数の検出エンジンを用いて分析されます。単一のエンジンによる検出では、検出漏れが生じる可能性があります。エンジンごとに、得意とする脅威の種類、ファイル形式、攻撃手法が異なります。
複数のエンジン間で結果を照合することで、検出精度は99%以上に高まり、単一エンジンによるスキャンで生じがちな死角が減少します。
その後、SBOMは実際のバイナリに対して検証されます。システムは正確性を前提とするのではなく、SBOMがソフトウェアの内部構成を正確に反映しているかどうかを確認します。欠落しているコンポーネント、誤ったエントリ、および未申告の依存関係が特定・修正され、ドキュメントと実態とのギャップが解消されます。
Softwareに機密データが含まれて出荷されるのを防ぐ
サプライチェーンのセキュリティは、脆弱性やマルウェアだけにとどまりません。機密データがソフトウェアとして配布されるのを防ぐことも含まれます。
SBOMでは、アーティファクト内に機密情報、認証情報、証明書、または規制対象データが埋め込まれているかどうかを特定することはできません。MetaDefender Software Supply Chain 、以下の機能を通じて機密情報の検出Supply Chain Proactive DLP 制御を通じてソフトウェアアーティファクトに対して直接シークレット検出を行い、パスワード、API 、その他の種類の機密データといった埋め込まれたハードコードされたシークレットを検出してブロックし、脅威アクターによる漏洩を防ぎます。
信頼関係を自動的に確立する
DevSecOpsチームには、特にプロジェクトが拡大するにつれて、すべての新しいソフトウェアコンポーネントを手動で監視する余裕がありません。
ソフトウェア・サプライチェーンの自動スキャン機能により、新しいパッケージは継続的に、あるいは設定されたスケジュールに従ってスキャンされます。ユーザーは、常に手動で監視することなく新たな脅威について通知を受け取れるため、運用負担が大幅に軽減されます。
アーティファクトにマルウェア、重大な脆弱性、機密データ、または不完全なSBOMが含まれている場合、本番環境や下流のシステムに到達する前にブロックすることができます。ポリシーチェックに合格しなかったSoftware については、それ以上の処理を阻止することができます。
リスクを効果的に低減するには、可視化と強制措置を組み合わせる必要があります。これは、環境内で実行を許可するものを管理することで実現されます。MetaDefender Software Supply Chain 、そのギャップをSupply Chain 、SBOMによる可視化を、ソフトウェア・サプライチェーン全体にわたる強制可能な信頼へと変換します。
主な違いの概要
| アスペクト | SBOMのみ | MetaDefender Software Supply Chain |
|---|---|---|
| Core | コンポーネントの一覧 | スキャン、検証、および強制(アクティブブロック) |
| 脆弱性の対応 | ビルド時に既知の問題をフラグで指定する | 新たな脆弱性、マルウェア、および機密情報の漏洩リスクを検知します |
| SBOMの検証 | SBOMレポートを1回生成する | 包括的なデータベースと照合して外部SBOMを検証し、洞察の網羅性と正確性を向上させます |
| マルウェア検出 | 手作業による確認に依存している | 30種類以上のアンチウイルスソフトを採用し、マルウェアの検出範囲を拡大 |
| ポリシーの実施 | 手動による審査 | 危険なソフトウェアの自動ブロック |
| 機密データ | スキャン機能は搭載されていません | 機密情報、個人識別情報(PII)、およびトークンを自動的に検出します |
SBOMは、実際に機能する制御手段と連携することで真価を発揮します。MetaDefender Software Supply Chain 、お客様のセキュリティ環境とシームレスにSupply Chain 仕組みを、今すぐご確認ください。
