APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

KubeCon NA 2022 - Software Supply Chainのセキュリティ対策はやることがいっぱい

KubeCon / CloudNativeCon 2022 Detroit Day3 今日から3日間、メインセッションとなります。ブレイクアウトセッションの内容から 気になった情報をピックアップしていきたいと思っています。

今回は「Software Supply Chain

近年 Software Supply Chain という言葉を聞くようになったと思います。 KubeCon NA 2022でもSoftware Supply Chainに関するセッションがいくつかありました。 今日だけで2つ(関連のものを含めると3つ)あり、それぞれ多くの人が参加していたので、その注目度がわかると思います。

(セッションの1つは資料が公開されていたのでそちらのリンクを掲載しておきます)

drive.google.com

従来イメージしていた攻撃というのは稼働しているサービス・アプリケーションに対して直接攻撃を 仕掛けるものでした。このためにFirewallなどさまざまな防御製品・サービスが利用されているものと 思います。 それに対対して「Software Supply Chain」に対する攻撃は、開発中のコードやOSSなどの依存ライブラリ、 CI/CD環境、コンテナイメージそのものやコンテナイメージレジストリなど、アプリケーションをデプロイするまでの間に仕掛けられます。

こうしたところを如何に防御するかが重要になってきているのです。 これを実現するために「Threat Modeling(脅威モデリング)」などを活用します。 そして脅威となっている部分に対して対策をしていきます。

これまで行われてきたものとは少し趣が異なっているため、何をしたらよいかわからないことも多いかと思います。

そこで参考になりそうなのが sigstore です。 防御のために活用するもの(の1つ)が sigstore ということで別のセッションで紹介されていました。 sigstoreと関係してくるのがSPIFFEやSPIREというプロジェクトです。さまざまなプロジェクトが有機的に つながるのもこのCloud Nativeな界隈の特徴ですね。

www.sigstore.dev

さらに、このsigstoreの機能を活用してSBoM(ソフトウェア部品表)のチェックなどを行おうという セッションも今日行われていました。

私自身SBoMの重要性が増していることは把握していましたが、その背景にあるSoftware Supply Chainに 対する理解が不十分だったと今日のセッションに参加して、認識を新たにしました。

明日以降もSBoMに関するセッションがあり、まだまだ抑えるべき情報が増えそうですが、 これまで個別に認知していたものが、関連するものがクリアになってわかりやすくもなってきていますので これを機会に一通りまとめられればと考えています(別の機会にご紹介できれば)。

まだまだ続くKubeCon NA 2022。引き続き興味深い情報がありましたらご紹介をしていきますのでご期待ください。