～脅威モデリングの可視化、コードリポジトリのスキャン、パイプラインの設定分析により、脆弱性対応の優先順位付けを支援～

世界的なサイバーセキュリティのリーダー企業であるパロアルトネットワークス株式会社（本社：東京都千代田区、代表取締役会長兼社長：アリイ・ヒロシ、以下パロアルトネットワークス）は本日、ソフトウェアサプライチェーンにおける潜在的な脆弱性や設定ミスを可視化し、その原因の迅速な対処を支援する「Prisma^® Cloud Supply Chain Security (サプライチェーンセキュリティ)」の日本市場における提供開始を発表します。これらのサプライチェーンにおけるセキュリティ欠陥は、コーディング時に回避できなかった場合、攻撃者のシステムへの侵入を許し、悪意のあるペイロードが組織内のソフトウェア全体へ拡散したり、機密データへの不正アクセスにつながったりする可能性があります。

悪意のあるペイロードの組織内のソフトウェア全体への拡散や、機密データへの不正アクセスにつながる可能性があります。

現在のソリューションの多くは、コードやクラウド上のリソース階層における脆弱性や設定ミスのみが通知されます。パロアルトネットワークスの包括的なクラウドネイティブアプリケーション保護プラットフォーム（CNAPP）である「Prisma Cloud」は、今回新たにSupply Chain Securityの機能を追加し、開発ライフサイクル全体の可視化と保護だけではなく、脆弱性がクラウドアーキテクチャのどの階層に当てはまるかというコンテキストも提供されるようになりました。

Gartner^®社は、「2025年までに世界中の組織の45％がソフトウェアサプライチェーンへの攻撃を経験し、攻撃は2021年から3倍に増加する」と述べています(*) 。Unit 42の最新のクラウド脅威レポートでも、ハードコードされた認証情報にアクセスすることで、ラテラルムーブメント (ネットワーク内部での脅威の拡散) や CI/CD (継続的インテグレーション/継続的デリバリー) パイプライン・ポイズニングが引き起こされることも明らかにされています。

Prisma Cloud Supply Chain Securityは、スタック全体かつライフサイクル全体で、クラウドネイティブアプリケーションを構成、提供する相互接続されたコンポーネントを保護することを支援します。オープンソースパッケージ、IaC (Infrastructure as Code) ファイル、バージョン管理システム（VCS）やCIパイプライン設定などのデリバリーパイプラインを含む、コード上の脆弱性や設定ミスを特定するための機能を提供します。

■Prisma Cloud Supply Chain Securityの主な機能

• 自動検出：既存のクラウドコードセキュリティスキャナーによりコード資産を抽出およびモデル化します
• グラフによる可視化：攻撃対象領域全体の脆弱性を把握できるよう、主要なアプリケーションとインフラストラクチャにおける資産の依存関係をシンプルかつ完全なインベントリ情報として可視化します
• サプライチェーンコードの修正：単一の統合プルリクエストにより脆弱性のある依存関係や誤って設定されたIaCリソースを修正します
• コードリポジトリスキャン：アプリケーションコードのオープンソースパッケージに含まれる脆弱性を特定して修正します
• ブランチ保護ルール：VCSおよびCI/CDの設定を堅牢化するためCheckovによりPolicy as Codeを拡張し、コード改ざん攻撃を防止します

これらの機能により、デリバリーパイプラインや、接続されているすべてのアプリケーションおよびインフラストラクチャリソースの攻撃対象領域をより適切に検査し、サプライチェーン攻撃を防止するための体制を整えることができます。サプライチェーンへの攻撃を防ぐことは、組織の「ゼロトラスト」アプローチの強化に繋がります。

パロアルトネットワークス株式会社のクラウドセキュリティ技術本部 CTO、ミスラ・アジェイは、次のように述べています。

「毎日のように、オープンソースやソフトウェアに過去に組み込まれてきたソフトウェアコンポーネントで新たな脆弱性が見つかっていますが、これらコンポーネントは過去にソフトウェアコード内に組み込まれていたものです。このようなコンポーネントに対して、パッチ適用されていないバージョンがどこに使われているかをすばやく特定することは、適切なツールがなければ非常に難しいです。Prisma Cloudはコードからクラウドまでの包括的な保護を実現するよう設計され、そして今回、ソフトウェアサプライチェーンも可視化できるようになりました。これにより、開発開始時やデリバリーパイプラインにおけるセキュリティ脆弱性の検出、優先順位付け、修正を容易になります。」

■提供開始時期

Supply Chain Securityによる可視化機能は現在Prisma CloudとBridgecrew by Prisma Cloudの両方で提供開始しています。

■関連サイト

ブログ：Prisma Cloudサプライ チェーン セキュリティでコードの複雑さとリスクを軽減

https://www.paloaltonetworks.com/blog/2022/04/cloud-software-supply-chain-security/?lang=ja

(*)ガートナー出典・免責事項
ガートナー「How Software Engineering Leaders Can Mitigate Software Supply Chain Security Risks」、Manjunath Bhat氏、 Dale Gardner氏 Mark Horvath氏共著、2021年7月15日発行
GARTNERは、Gartner Inc.または関連会社の米国およびその他の国における登録商標およびサービスマークであり、同社の許可に基づいて使用しています。All rights reserved.

●パロアルトネットワークス株式会社について
米国に本社を持つパロアルトネットワークス株式会社は、サイバーセキュリティの時代をリードする次世代セキュリティ企業で、世界中の数万もの組織をサイバー攻撃から保護し、アプリケーションの安全な稼働を支援しています。先進的なセキュリティプラットフォームは革新的なアプローチで構築されており、これまでの製品や個別製品より優れています。高度かつ独自のサイバー脅威防御機能で、日々の業務や企業の最も価値のある財産を保護します。詳しくは http://www.paloaltonetworks.jp　をご覧ください。

※Palo Alto Networks、PrismaおよびPalo Alto Networksロゴは米国におけるPalo Alto Networksの登録商標または商標です。本書に記述されているその他すべての商標、商号、サービスマークは、各所有者に帰属します。

●お客様向けのお問い合わせ先
パロアルトネットワークス株式会社　
Tel: 03-6205-8061 Email: infojapan@paloaltonetworks.com

●報道関係者向けのお問い合わせ先
パロアルトネットワークスPR事務局 株式会社アクティオ
Email: paloalto-pr@actioinc.jp