編集部からのお知らせ
新着記事まとめPDF「ランサムウェア」
注目の記事まとめPDF「Chrome OS」

グーグル、ソフトウェアサプライチェーンのセキュリティ向上へ--「Assured OSS」発表

Danny Palmer (ZDNet.com) 翻訳校正: 編集部

2022-05-20 13:17

 Googleは、新たなイニシアティブでソフトウェアサプライチェーンのセキュリティ向上を目指す。同社の開発者がコードの構築と保守に使用しているものと同じセキュアパッケージを、企業向けオープンソースソフトウェア(OSS)のユーザーに提供していくという。

 Googleは、OSSサプライヤーを狙ったサイバー攻撃は前年比で650%増加しており、アップストリームのオープンソースエコシステムで脆弱性を悪用することを狙っていると指摘する。

 Google Cloudのセキュリティ部門バイスプレジデントのSunil Potti氏は次のように説明する。「これこそが、Googleが真摯に取り組んできた点だ。つまり、デジタルサプライチェーンにおける課題にいかに先回りするかということだ。物理的なサプライチェーンで今日われわれが置かれているのと同じ体制ではない」

 「デジタルサプライチェーンでこれに相当するのがOSSだ。サプライチェーンにおける安全性の確保はエンドツーエンドの観点から行う必要がある中で、世界のほぼすべての企業はOSSに触れている」(Potti氏)

 「Assured Open Source Software」(Assured OSS)サービスとしてGoogle Cloudの顧客に提供されるパッケージには、検証可能な形式でGoogleによって署名されるほか、定期的に脆弱性のスキャンと分析を実施することで、ユーザーを脆弱性や悪用から可能な限り保護する。

 また、パッケージはGoogleの「Cloud Build」プラットフォームを使用して構築され、「SLSA」(ソフトウェアアーティファクトのサプライチェーンレベル)準拠で検証可能な証拠を得られる。さらに、Googleが安全性を確保し、保護する「Artifact Registry」(アーティファクトレジストリー)から配布される。SLSAフレームワークは、コードの改ざん防止や整合性の向上、パッケージ保護などを目的としている。

 これは、Google社内で実際に使用されているプロセスに基づく。エンドツーエンドのプロセス全体で各ステップがアクティブに保護されるとともに、ソースコードの保護されたコピーが個別に管理されるというものだ。

 Googleはブログ記事で、「Assured OSSで、顧客企業はGoogleが社内で使用しているものと同じOSSパッケージにアクセスできるようになり、当社が社内のOSSポートフォリオに適用している綿密なエンドツーエンドのセキュリティ機能とプラクティスから直接的なメリットを得ることができる」と説明している。Assured OSSは2022年第3四半期にプレビューとなる見通しだ。

 サプライチェーンの脆弱性はサイバー犯罪者に狙われやすく、多くのインシデントは、攻撃者が新たに見つかったゼロデイサイバーセキュリティの脆弱性を悪用することに端を発する。セキュリティパッチが提供されても、組織は展開に時間を要する場合があるため、攻撃に脆弱な状態になりやすい。

 Google Cloudは、今回の新サービスによって、オープンソースやサプライチェーンの脆弱性管理を容易にし、組織の規模を問わずサイバー攻撃に対する安全性を確保できるように支援したいと考えている。

 Potti氏は次のように述べた。「社員が2人だけの店から、従業員10万人の銀行まで、あらゆる企業のための手段だ。今回われわれがAssured OSSパッケージという形で市場に投入するのは、Googleが長年にわたって自社の開発者を保護するために投資してきたオープンソースパッケージのキュレーションされた精選セットだ。コードを利用したり構築したりするあらゆる顧客が活用するものだ」

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]