サプライチェーンへの攻撃は 2020年から 2021年にかけて 300% 増加し、ソフトウェア開発ライフサイクルの早い段階でセキュリティ侵害が起きていることが明らかになっています。また、2021年には、サイバーセキュリティ侵害の 80% が人為的ミスによるものであり、20% がデスクトップとラップトップへの攻撃によるものであるという調査結果も出ています。
開発者のワークステーションが狙われている理由はいくつかあります。ワークステーションはクリティカルなコードやインフラにアクセスすることができ、脆弱性が導入されるのが早ければ早いほど、侵入を特定するのが難しくなる可能性があります。開発者は、自分が直接使用する依存関係だけでなく、依存関係の依存関係 (推移的依存関係と呼ばれる) も信頼する必要があります。開発者用ワークステーションに起因するインシデントが増加する中、開発者用ワークステーションのセキュリティは、セキュリティを重視する組織にとって最優先事項である必要があります。
ソフトウェア開発における不十分なセキュリティ対策は、信頼を覆す違反行為や高額な損失につながり、米国ではセキュリティ違反の平均コストは 944万ドルに達しています。開発者は、製品の開発だけでなく、安全な開発についてもますます責任を負うようになっています。
業種を問わず、組織は開発者のワークステーションを保護し、進化し増加する攻撃に備えなければならない。
潜在的な攻撃ベクトルを理解することで、チームは進化するセキュリティ脅威を軽減することができます。
それでは、開発者のワークステーションをセキュアにするためにできる 5 つのアクションを見てみましょう。
マルウェア攻撃を防ぐ
マルウェアとは、ソフトウェア、ハードウェア、またはネットワークを攻撃するための悪意のあるソフトウェアを指します。コンテナ開発では、コンテナ内で実行される潜在的に有害なアクティビティだけでなく、ホストのファイルシステムやネットワークなどの外部システムにアクセスする可能性もあるため、マルウェアは特に有害な可能性があります。
コンテナは、信頼できるイメージと依存関係のみを使用し、可能な限りパーミッションを分離して制限し、最新の環境で最新のソフトウェアを実行することによって保護される必要があります。
安全なソフトウェア サプライチェーンの構築
サプライチェーン攻撃は、直接依存と推移的依存を悪用します。数億台のデバイスに影響を及ぼすと推定される脆弱性、Log4Shell をご存知でしょうか。有名な SolarWinds のセキュリティ インシデントの背後にある脆弱性も、サプライチェーン攻撃でした。サプライチェーン攻撃は 2021年に 300% 増加し、セキュリティ専門家もすぐに減速するとは予想していません。
サプライチェーンの攻撃は、安全なサプライチェーンのベストプラクティスによって軽減することができます。これには、サプライチェーンの各ステップが信頼できるものであることを確認すること、主要な自動化を追加すること、ブランド環境を明確に定義することなどが含まれます。
ポリシーのローカル管理者権限を考慮する
開発者個人によって、ワークステーションに対するニーズは異なるかもしれません。多くの開発者はローカルの管理者権限を持つことを好みます。組織は、開発者が安全に作業できるようなポリシーを作成し、実施する責任があります。チームがローカル管理者権限をどのように扱うかは、チームの決定事項であり、その結果はチームごとに異なるかもしれませんが、ローカル管理者権限をめぐる会話は、チームのセキュリティを維持するために必要なものです。
安全保障と自主性のバランスを見つけることは、常にアクティブな状態です。どのようなバランスも、達成した後に忘れてしまうことはあってはなりません。その代わり、組織は、開発者が不必要にブロックされたり、誤ってチーム、製品、顧客を危険にさらしたりすることなく、自分たちの仕事ができるように、定期的にツールと構成を見直さなければいけません。
危険な誤設定を防止
コンフィギュレーションは、ソフトウェア開発ライフサイクルのほぼすべてのステップで必要であり、開発ツールと環境や機密データなどの本番リソースとを接続します。より寛容なコンフィギュレーションは何でも可能に見えますが、残念ながら、その柔軟性が誤って悪意のある行為者に機密リソースへのアクセスを提供してしまう可能性があります。厳しすぎるコンフィギュレーションは開発者にストレスを与え、生産性を制限してしまいます。
設定ミスは意図的に起こるものではありませんが、軽減することは可能です。各チームや組織には独自のツール、プロセス、ネットワークの考慮事項があるため、コンフィギュレーションに万能なソリューションはありません。組織のニーズに関係なく、開発者のワークステーションと、IT 管理者がローカルのコンフィギュレーションを管理する方法を考慮するようにしてください。
内部脅威からの保護
ほとんどの侵害は組織外部からのものですが、2021年の侵害の 20% は内部関係者によるものでした。外部の攻撃者がソフトウェア開発ライフサイクルの初期段階を狙うのと同じ理由で、内部の悪質な行為者も同様の戦略を用いて、内部のセキュリティ安全対策を回避しています。
外部攻撃者の機会を制限するセキュリティ対策は、内部悪意者の機会も制限します。設定、コンフィギュレーション、パーミッション、スキャンを検討する際には、攻撃の発生源がどこであるかにかかわらず、攻撃の傾向は開発サイクルの早い段階へと移行していることを覚えておいてください。
Hardened Docker Desktop: 企業向けの強力なセキュリティ
Hardened Docker Desktop のような機能により、Docker を使用するすべての開発者が、作業を遅らせたり、不必要に気を取られたりすることなく、安全に作業し、安全な製品を作成できるようにします。Hardened Docker Desktop は Docker Business プランにて提供されます。業界の専門家によって開発され、テストされたコンテナ セキュリティのベストプラクティスについてはお問い合わせください。
Docker Business の詳細は、弊社 Web サイトをご確認ください。
記事参照:
© 2023 Docker
「5 Developer Workstation Security Best Practices」