パロアルトネットワークスは4月25日、ソフトウェアのサプライチェーンにおける潜在的な脆弱性や設定ミスを可視化し、その原因の対処を支援するサービス「Prisma Cloud Supply Chain Security (サプライチェーンセキュリティ)」の日本市場における提供開始を発表した。

  • 「Prisma Cloud Supply Chain Security (サプライチェーンセキュリティ)」画面イメージ。ソフトウェアサプライチェーンを可視化する

Gartnerの予測によると、2025年までに世界中の組織の45%がソフトウェアサプライチェーンへの攻撃を経験し、攻撃は2021年から3倍に増加するという。Unit 42の最新のクラウド脅威レポートでも、ハードコードされた認証情報にアクセスすることで、ラテラルムーブメント (ネットワーク内部での脅威の拡散) や CI/CD (継続的インテグレーション/継続的デリバリー) パイプライン・ポイズニングが引き起こされることも明らかにされている。

同サービスは、スタック全体かつライフサイクル全体で、クラウドネイティブアプリケーションを構成、提供する相互接続されたコンポーネントを保護することを支援する。オープンソースパッケージ、IaC (Infrastructure as Code) ファイル、バージョン管理システム(VCS)やCIパイプライン設定などのデリバリーパイプラインを含む、コード上の脆弱性や設定ミスを特定するための機能を提供する。

具体的には、既存のクラウドコードセキュリティスキャナーによりコード資産を抽出およびモデル化する自動検出機能、主要なアプリケーションとインフラストラクチャにおける資産の依存関係をグラフで可視化する機能、単一の統合プルリクエストにより脆弱性のある依存関係や誤って設定されたIaCリソースを修正する機能を提供する。

ほかにも、アプリケーションコードのオープンソースパッケージに含まれる脆弱性を特定して修正するコードリポジトリスキャン機能や、Policy as Codeを拡張してコード改ざん攻撃を防止する機能も提供する。

これらの機能により、デリバリーパイプラインや、接続されているすべてのアプリケーションおよびインフラストラクチャリソースの攻撃対象領域をより適切に検査し、サプライチェーン攻撃を防止するための体制を整備できるとのことだ。