ソフトウェア・サプライチェーンのセキュリティーの意味とは?
ソフトウェア・サプライチェーンのセキュリティーとは、ソフトウェア・サプライチェーンのあらゆる段階を脅威や脆弱性から保護するよう設計された一連の手法、テクノロジー、フレームワークのことを指します。初期設計とコーディングからデプロイ、アップデート、メンテナンスまで、ソフトウェア開発のライフサイクル全体を網羅します。
ソフトウェアのサプライチェーン全体のリスクを管理
video 1:08
HCL AppScan: 完全なソフトウェアサプライチェーンのセキュリティとリスク管理を実現
ソフトウェアのサプライチェーン全体のリスクを管理
ハイパーコネクテッドなデジタルプラス経済の世界では、現実の増大するリスクとしてソフトウェアのサプライチェーンに対する攻撃があり、その修復コストは高くつきます。
増加傾向にあるソフトウェアのサプライチェーンへの攻撃は、サプライチェーンの弱みを悪用して、データの盗難、マルウェアの移植、システムの制御などを行います。組織の成功にとって、ギャップを埋め、そのリスクを効果的に管理することは不可欠です。
HCL AppScan Supply Chain Security は、驚異的な速度で脆弱性をテスト、トリアージ、修復できる詳細評価ツールとリスク要因に対する完全な可視性を提供します。
集中型プラットフォーム、クラス最高のアプリケーションセキュリティー・テスト (HCL AppScan on Cloud)、最先端の Pipeline Bill of Materials (PBOM) テクノロジーにより、ソフトウェア・サプライチェーン全体でセキュリティーポスチャーを向上させます。
アクティブなアプリケーションセキュリティー・ポスチャー管理 (ASPM)
ソフトウェア・
サプライチェーンのセキュリティー
SDLC や、PBOM テクノロジー (Pipeline Bill of Materials) を含むすべての重要なコンポーネントへのシームレスな統合は、コードからクラウドへの完全な検出性と可視性、クラウドからコードへのトレーサビリティーがあることを意味します。
アプリケーションセキュリティー
ポスチャー管理
継続的なアプリケーションセキュリティーのカバレッジ、データ収集、および環境、ビジネス臨界、攻撃コンテキストに基づくリスク優先順位付けのための一元的操作を実現します。
スキャンテクノロジーの
完全なスイート
静的、動的なソフトウェア組成分析によるソースコード、オープンソース・コンポーネント、Web アプリケーション、シークレットと API を正確にテストし、迅速なトリアージと修復のため集中型ダッシュボードで検出結果を管理します。
メリット
メリット
攻撃容易性、到達可能性、ビジネス臨界などアクティブなコンテキストに基づくリスクの優先順位付け。
連続スキャンと自動応答は、ワークフローを改善し、ツールの依存関係を減らし、実行可能なインサイトを提供します。
セキュリティーとリスクを完全に網羅するための、ソフトウェア開発ライフサイクル全体へのシームレスな統合。
コードからクラウドへの継続的な可視性、およびクラウドからコードへのトレーサビリティーの PBOM (Pipeline Bill of Materials)。
セキュリティーチームの応答と修復の手順に基づいてカスタマイズできるノーコード・ワークフローの自動化。
関連リソース
パンフレット |
HCL AppScan Supply Chain Security のパンフレット
このアクティブなアプリケーションセキュリティー・ポスチャー管理プラットフォームの概要
ブログ
HCL AppScan によるソフトウェア・サプライチェーンのセキュリティーの革命
HCLSoftware による業界をリードする AppSec ソリューションの発表
ブログ
ソフトウェア・サプライチェーンのセキュリティーでレジリエンスを構築する
脅威に対してプロアクティブなセキュリティーで対応すべきことを理解します。
機能
クラス最高のスキャンテクノロジー
Active ASPM は、HCL AppScan on Cloud (SaaS ソリューション) により提供される正確で実用的なテスト検出結果に依存しています。このテクノロジーのスイート (SAST、DAST、SCA、IAST) は、ソースコードの詳細分析、Web アプリケーションと API のテスト、オープンソース検出、コンテナースキャン、シークレットスキャンなどを提供し、ソフトウェア開発ライフサイクルのあらゆる段階でセキュリティーを確保します。
PBOM (Pipeline Bill of Materials)
PBOM テクノロジーは、コードからクラウドへの比類のない可視性、クラウドからコードへのトレーサビリティーを提供します。PBOM は、1 つのソフトウェアが実行したすべての事柄の動的リストであり、それにはすべてのバージョン系統、SLSA.dev、SaaSBOM、セキュリティーツール結果、ビルドハッシュなどが含まれます。これはコードの最初の行から始まり、途中にあるすべての脆弱性を特定しながら、リリースまで続きます。
自動サプライチェーンのセキュリティーと修復
HCL AppScan Supply Chain Security は、結果を自動的に Open Software Supply Chain Attack Reference (OSC&R) フレームワーク (Ox Security により開発) にマップします。これはソフトウェア・サプライチェーンのセキュリティーを侵害するために敵対者が使用する攻撃手法、戦術、手順を理解するための最初で唯一のオープンフレームワークです。
修復アシスタンス
ノーコード・ワークフローの自動化により DevOps チームと DevSecOps チームは、直感的なドラッグ・アンド・ドロップインターフェースから、直感的に使用でき、カスタマイズ可能な応答計画を迅速に作成できます。コンテナーのカバレッジまで拡張されるこのノーコード・ワークフローの自動化によって、カスタマイズされたワークフローの作成は簡素化され、チケット発行と通知は自動化され、きめ細かなポリシーが施行されて、セキュリティーの問題が実稼働環境に及ぶのを防ぐことができます。
よくある質問
サプライチェーンのセキュリティーに対する最大の脅威
ソフトウェア・サプライチェーンを保護することは、その複雑性や多数の利害関係者やコンポーネントが関係していることを考えると、いくつかの課題が生じることになります。まず、多数のサードパーティー・ライブラリー、フレームワーク、ツールを使用しているため、すべてのコンポーネントを確実に保護することは困難です。また、これらさまざまなコンポーネント間の相互依存関係により、カスケード効果が生じ、あるコンポーネントの脆弱性がシステム全体に影響する可能性があります。
アプリケーションセキュリティー・ポスチャー管理とは?
アプリケーションセキュリティー・ポスチャー管理 (ASPM) は、開発からデプロイメントと継続使用まで組織のアプリケーションのライフサイクルを通してそれらのアプリケーションのセキュリティーを確保する総体的アプローチです。ASPM はアプリケーションのセキュリティーを監督し、弱点を特定し、リスクに優先順位を付けるのに役立ちます。アプリケーションセキュリティー・ポスチャーを明確にし、プロアクティブに脆弱性を修正し、強力な防御を維持できます。
ソフトウェア・サプライチェーンの攻撃とは?
ソフトウェア・サプライチェーンの攻撃では、企業のソフトウェアベンダーや開発プロセス時に存在する脆弱性をターゲットにして、悪意あるコードをソフトウェア自体に投入します。こうして、侵害されたソフトウェアが配布され、複数の組織で使用されると、攻撃者は多数のシステムにアクセスできるようになります。
