米Googleは、フルマネージドソフトウェアサプライチェーンセキュリティソリューションであり、開発者、DevOps、セキュリティチームが安全なクラウドアプリケーションを構築するのに役立つ、モジュール形式の機能セットを提供する「Software Delivery Shield」を、10月11日(現地時間)に発表した。
Software Delivery Shieldには、ソフトウェアサプライチェーンのセキュリティ上の問題に対処するための、アプリケーション開発、ソフトウェアのサプライ、継続的インテグレーション(CI)と継続的デリバリ(CD)、本番環境、ポリシーの5つの領域にまたがる機能が含まれている。
段階的な導入に対応しており、既存の環境とセキュリティの優先順位に基づいて優先して導入するツールを選べるため、それぞれのニーズに合わせてソリューションを調整できる。
開発領域では、Google Cloud Nextにてフルマネージ型の開発環境である「Cloud Workstations」のプレビュー版が発表される。Cloud Workstationsは、アプリケーション開発環境のセキュリティ体制を強化することによって、セキュリティ対応のシフトレフトにおいて重要な役割を果たし、VPC Service Controls、ソースコードのローカル保存なし、プライベートのイングレス/エグレス、強制的なイメージ更新、IAMアクセスポリシーといったセキュリティ対策が組み込まれており、コードの流出、プライバシーリスク、構成の不整合など、ローカル開発のセキュリティに関する一般的な問題に対応できる。
ソフトウェアのサプライに関する領域では、5月に導入され現在プレビュー中のAssured Open Source Softwareによって、Googleがキュレーションおよび精査したオープンソースソフトウェアパッケージへのアクセスを提供する。また、DevOpsチームはビルドアーティファクトをArtifact Registryにて保存、管理、保護可能で、Container Analysisが提供する統合スキャンを使用することで、脆弱性をプロアクティブに検出できる。
CI/CD領域については、フルマネージドCIプラットフォームであるCloud Buildと、フルマネージドCDプラットフォームCloud Deployに、DevOpsチームがビルドおよびデプロイプロセスをより適切に管理するために役立つ、きめ細かなIAMコントロール、VPC Service Controls、分離された一時的な環境、承認ゲートといったセキュリティ機能が組み込まれている。
本番環境でのアプリケーション保護としては、Google Kubernetes Engine(GKE)向けのセキュリティ体制管理機能がプレビュー提供されており、業界標準とGKEチームのセキュリティに関する専門知識に基づき、詳細な評価を提供するとともに重大度を割り当て、OSの脆弱性とワークロード構成に関する洞察を含む、クラスタとワークロードのセキュリティ体制についてのアドバイスを行う。また、ワークロードに対してはセキュリティ上の懸念、およびそれに対処するための実用的なガイダンスを提供する。さらに、サーバレスプラットフォームであるCloud Runを利用している顧客に対しては、Cloud RunのセキュリティパネルにSLSAビルドレベルのコンプライアンス情報、ビルドの来歴、実行中のサービスで見つかった脆弱性といったソフトウェアサプライチェーンのセキュリティに関する洞察が表示されるようになった。
ポリシーに関する対策では、信頼できるコンテナイメージのみがGKEまたはCloud Runにデプロイされるようにする、デプロイ時のセキュリティコントロールであるBinary Authorizationが搭載され、DevOpsまたはセキュリティチームが開発プロセス中に信頼できる機関によるイメージへの署名を要求するとともに、デプロイ時に署名の検証を実施可能となっている。
- 関連リンク
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
