トップ > Security > あなたにセキュアなサプライチェーンを。Red Hat Trusted Software Supply Chain

あなたにセキュアなサプライチェーンを。Red Hat Trusted Software Supply Chain

Security Red Hat OpenShift OpenShift

こんにちは。レッドハットで OpenShift とかストレージとかを生業にしている宇都宮(うつぼ)です。

なんだか久しぶりな感じがしますが、今回は Red Hat Trusted Software Supply Chain について話します。
今年の5月にアメリカで Red Hat Summit 2023 が開催されました。その中では様々な新しいプロダクトやサービスが発表されました。
その中の一つが Red Hat Trusted Software Supply Chain (RHTSSC) です。

TL;DR

無理やり3行でまとめてみます。Red Hat Trusted Software Supply Chain とは、

  • Red Hat OpenShift 上でセキュアなソフトウェアサプライチェーンの実装を実現する、Red Hat のマネージドサービスである。
  • Red Hat Trusted Content, Red Hat Trusted Application Pipeline など複数のサービスを使い、Red Hat が持つ DevSecOps のプラクティスを適用できる。
  • 現在は "サービスプレビュー" 状態でまだ GA ではないが、waitlistに登録することはできる。

こういうものです。

急増するサプライチェーン攻撃

専門家じゃないヤツが偉そうに言うのもなんですが、ソフトウェアサプライチェーンとはざっくり言えば、アプリケーションが生み出され初めて使われなくなるまで、ゆりかごから墓場までに関わってくるあらゆる構成要素や依存関係の総称です。
開発者が生み出すコードはもちろんのこと、パッケージやライブラリ、パイプラインツールやビルドツール、Git、テストツール、成果物のリポジトリ、ベースイメージ、コンテナレジストリ、コンテナプラットフォーム、、、挙げればキリがありません。

これほどまでたくさんあると、残念ながらどうしても攻撃を受けてしまう隙が生じるものです。
コードにおいては OSS コミュニティで公開されているパッケージやライブラリを活用することもあるでしょうし、その他も公開されているソフトウェアやツール類を使うことが多いでしょう。 こういった誰もが利用できるものが攻撃を受けやすいのです。

例えば CI パイプラインに侵入されてしまうと、Git リポジトリへの経路ができます。この後コードから機密情報を引き抜かれてしまったり、悪意のあるコードを差し込んだりなど、やりたい放題されてしまいます。
PyPI や npm といったツールで何気なくパッケージをインストールすると、実は悪意のある人間によってバックドアが仕込まれたもので、そこから攻撃されてしまうといったこともあります。

こういったソフトウェアサプライチェーンへの攻撃は、Sonatype 社のレポートによると過去3年間で742%も激増しています。したがって、こういった攻撃への対策は急務です。

Red Hat Trusted Software Supply Chainってナンだ

Red Hat Trusted Software Supply Chain (RHTSSC) は、こういった攻撃への対策を施した、セキュアなソフトウェアサプライチェーンの実装を実現します。

セキュアなソフトウェアサプライチェーンを作るには、いわゆる DevSecOps と呼ばれる手法を使いますが、そうですかそれではやります、と言えるほど簡単ではありません。
何をどうどの程度セキュリティ対策すれば丁度良いのか、など様々なことに関する深い知識と経験に基づくアプローチを取ることが理想的です。
RHTSSC では、Red Hat の知識と経験に基づいた DevSecOps のプラクティスを利用することができます。

RHTSSC はマネージドサービスであり、Red Hat Hybrid Cloud Console からアクセスすることができます。
RHTSSC はこれ自身の名前のサービスがあるわけではなくて、いくつかのサービスを併用した総称です。

もちろんそれぞれのサービスは別々に利用することが、えー、、でき、、ます。。。かな?💧

なんで歯切れが悪いのかと言うと、この3つのサービスはまだ一般的には使えないからです。
RHTAP と RHTC、この2つは、現在 "サービスプレビュー" というステータスで、まだ GA されたサービスではありません。
そして RHACS Cloud は "Limited Available" といって利用できるユーザーさんが限定されています。近いうちに米国と欧州で GA 予定ではありますが、日本ではその先です。

そういうことで、今日明日すぐ使えるというものではないのです。以後の紹介はそういった前提でご覧いただけると幸甚の至りでございますです。
お試しで使ってみたいなぁ、という方は、waitlist に登録して専用の Slack Channel に参加すると、使い方を教えてもらえると思います。

Red Hat Trusted Application Pipeline

RHTAP は主にマネージドサービス型の OpenShift Pipeline/Gitops と考えていただいて構いません。
この中でセキュリティ対策を盛り込んだ標準のパイプラインがあって、これを活用する形になります。パイプラインはカスタマイズもできます。

パイプラインの中でアプリケーションの SBOM(Software Bill of Materials) が作られます。
SBOM はサプライチェーンの要素一覧表のようなものです。SBOM と外部の脆弱性データベースを照会することで、実はハイリスクな脆弱性をはらむ OSS を意図せず使っていたりする場合に気づくことができます。

また、パイプライン中で生み出されたコンテナイメージや SBOM などの成果物に署名をすることができます。 成果物に署名することで、攻撃者によるマルウェアなど出元不明なソフトウェアを入れ込まれたり、改ざんされたりするリスクを下げられます。

Red Hat Trusted Content

RHTC は開発するアプリケーションのセキュリティチェックをします。vscode などのコードエディタにプラグインとして稼働します。
RHTC はアプリケーションが依存するパッケージやソフトウェア診断し、脆弱性や OSS ライセンス違反などを検出してくれます。

また Red Hat が提供するパッケージについては、その SBOM と VEX(Vulnerability Exploitability eXchange) を入手することができます。
VEX とは、SBOM と脆弱性 DB から検出された脆弱性が実際にアプリケーションに影響を及ぼすかを評価する上で役立つものです。
SBOM と VEX の関係性については、こちらのブログ が詳しく書かれています。

これは実は Red Hat Dependency Analytics という既存のサービスとほぼ同じで、これが利用できるとイメージしていただいても大丈夫かなと思います。 Red Hat Dependency Analytics についてはこちらの記事に詳しいので、こちらをご覧下さい。

Red Hat Advanced Cluster Security Cloud Service

RHACS Cloud は、セルフマネージの Red Hat Advanced Cluster Security (RHACS) のマネージドサービス版です。
RHACS との機能的な違いもほぼなく、RHACS については過去にも何回か記事で取り上げられていますので、ここでは説明は省略します。

まとめ

というわけで、Red Hat Trusted Software Supply Chain の簡単な紹介をしました。

サイバー攻撃は極めて多岐にわたるため全てを網羅的に対策することは極めて難しいと言えます。しかも、ITセキュリティは結構専門的な分野なので分かる人材は多くありません。
しかし何も対策しないでおくことは許されない。専門家でなくとも自衛できる範囲では自衛することが必要です。

前述の通り、サプライチェーン攻撃は急増しています。誰もが知っているような先進的な企業でも被害に遭っており、対策は急務です。
セキュリティ対策の基本は、脅威の認識と予防、迅速な検知、そして素早い対応ですが、ソフトウェアサプライチェーンでこれらを広くカバーするのが Red Hat Trusted Software Supply Chain です。

残念ながら今はまだGA前ですが、こういったサービスも Red Hat は提供しているんだと頭の片隅に置いていただければ幸いです。 というわけで今回はここまで。

* 各記事は著者の見解によるものでありその所属組織を代表する公式なものではありません。その内容については非公式見解を含みます。