GMO Flatt Security、ソフトウェアサプライチェーンの診断・攻撃演習サービスを提供開始

　GMO Flatt Securityは、開発組織向けにソフトウェアサプライチェーン攻撃対策を支援する「ソフトウェアサプライチェーン診断」と「ソフトウェアサプライチェーン攻撃演習」の提供を開始した。

　ソフトウェアサプライチェーン診断とは、依存パッケージの管理からCI/CD環境の構成・権限設計までを対象に、侵害時の被害範囲と対応優先度を可視化する診断サービスだという。攻撃が成立した場合に、認証情報・機密情報・個人情報の漏えいの被害がどこまで拡大するかシミュレーションできるとのことだ。

　また、ソフトウェアサプライチェーン攻撃演習は、「axios」など実際に発生した侵害事例をもとに、開発チーム自らがインシデント対応と判断を実践する机上演習サービスだという。

　両サービスを組み合わせることで、ソフトウェアサプライチェーン上のリスクの可視化からインシデント発生時に開発チームが自ら動ける体制の構築まで、開発パイプライン全体の堅牢化を一貫して支援すると述べている。

ソフトウェアサプライチェーン診断

診断概要

　対象組織の依存関係に含まれるパッケージやソースコードリポジトリが侵害された場合に、「自社の環境ではどの段階で攻撃が止まるか」を評価。一般的なチェックリスト型の評価とは異なり、対象組織の環境で実際に成立しうる攻撃経路をシミュレーションし、防御の各段階で「何が機能し、何が機能しないか」を明らかにするとのことだ。

　リポジトリ内に残された機微情報や依存パッケージの管理状況、CI/CDの環境の隔離・通信制御、トークン権限の分離度、インシデント時の追跡可能性までを横断して対象とし、被害シナリオに基づく優先順位付きのアクションリストを導出するという。

既存の開発者端末のペネトレーションテストと診断は補完関係

　ソフトウェアサプライチェーン攻撃における大きな懸念点として、開発者端末の侵害がある。悪意あるパッケージの実行により端末が侵害されると、そこに保存されたGitHubや各種クラウド環境の認証情報を足がかりに、ソースコードの改ざんや本番環境への侵入にまで到達される可能性がある。

　GMO Flatt Securityでは、既に提供中のペネトレーションテストにおいて、悪意あるパッケージによる端末侵害を起点に、実際にどの認証情報・システムに到達できるかを実証的に評価しているという。一方、ソフトウェアサプライチェーン診断は端末侵害の検証だけではカバーしきれない、CI/CD環境の構成や権限設計に起因するリスクが対象だとしている。ペネトレーションテストが開発者端末の侵害を実証的に検証するのに対し、この診断ではCI/CD環境の設定・権限設計を構造的に評価するとのことだ。

　両サービスを組み合わせることで、開発者端末とCI/CD環境の双方からソフトウェアサプライチェーンのリスクを評価できるとしている。

ソフトウェアサプライチェーン攻撃演習

演習概要

　「axios」や「Bitwarden CLI」など実際の侵害事例に基づき、開発チームが主体となってインシデント対応を体験する机上演習（TTX）だという。①事前ブリーフィング、②演習本体、③振り返りの3フェーズで構成されるとのことだ。ソフトウェアサプライチェーン診断の結果を踏まえて実施することで、自社環境の実態に基づいたシナリオでの演習が可能になると述べている。

ソフトウェアサプライチェーン攻撃演習の特徴：開発チーム向け

　最大の特徴は、開発チームが中心となってインシデント対応を実施する場合を想定している点だという。ソフトウェアサプライチェーン攻撃によるインシデントは、「自社の開発環境が影響を受けているか」の判定から対応が始まる。その際、パッケージの利用状況やCIの実行履歴・CI/CD設定といった、その企業の開発現場の理解が欠かせないとのことだ。セキュリティチームだけでは完結できない領域で、開発チームが中心となって調査・判断する体験を提供するとしている。

【関連記事】
・アトラシアン、ソフトウェア開発の全工程をサポートするAIエージェント「Rovo Dev」一般提供開始
・IssueHunt、SAST・SBOM・CSPMの統合セキュリティコンサルティングサービスを提供開始
・オーティファイ、ソフトウェア開発の品質保証マネージドサービス「Autify AI Coworker」を国内で提供へ