5月6日から9日にかけ、サンフランシスコMoscone Centerにサイバーセキュリティーの専門家、業界のリーダー、イノベーターが集まり、デジタルセキュリティーの将来について議論するRSA 2024 Conferenceが開催。そこでJFrogは、最も革新的なソフトウェアサプライチェーンセキュリティー部門の「Global InfoSec Award」を2年連続で受賞した。JFrogプロダクトマーケティングディレクターElana Marom氏によるイベントレポートで、コンファレンスの概要をお伝えしよう。
RSA 2024で浮上した主要テーマの1つは、ソフトウェアサプライチェーンセキュリティーの重要性の高まりだ。 Gartnerによると、米国企業の61%がソフトウェアサプライチェーン攻撃による直接的な影響を受けており、組織がサードパーティーのソフトウェアコンポーネントにますます依存するようになっているため、堅牢なセキュリティー対策の必要性はかつてないほど高まっている。
ソフトウェアサプライチェーンセキュリティーとは、ソフトウェア開発ライフサイクル(SDLC)を通じて発生する潜在的な脅威や脆弱性からソフトウェアコンポーネント、依存関係、およびサービスを保護することを目的としたプロセスとプラクティスを指す。コンファレンスでは、リスク評価と軽減の必要性、サードパーティーの依存関係の保護、ゼロトラストアプローチの採用、オープンソースソフトウェアセキュリティーの強化、ベンダー統合の必要性などが主なテーマとして取り上げられた。
RSA 2024では、ソフトウェアサプライチェーン内の脆弱性とリスクを特定するための堅牢なリスク評価方法の必要性が強調された。専門家は、リスクを軽減するための必須ステップとして、依存関係を理解し、徹底したセキュリティー評価を実施することの重要性を強調。サードパーティーソフトウェアの依存関係を安全に管理および監視するための戦略についても議論され、専門家は、安全なコーディングプラクティスの実装、定期的な監査の実施、ソフトウェアサプライチェーンエコシステム全体の可視性の維持が、潜在的な脅威にさらされるリスクを軽減するためにいかに重要であるかを解説した。
ゼロトラストアーキテクチャーの採用も、RSA 2024で繰り返し取り上げられたテーマの1つだった。ゼロトラストの原則では、継続的な検証と最小権限アクセスを推奨し、デプロイ前に全てのソフトウェアコンポーネントが検証され承認される。オープンソースソフトウェアが普及していることから、オープンソースプロジェクトのセキュリティー体制を強化することを中心に多くの議論が行われた。脆弱性スキャン、タイムリーなパッチ適用、コミュニティー主導のセキュリティーイニシアチブの実装が、オープンソースへの依存に関連するリスクを軽減するための重要な戦略として浮上した。
RSA 2024で展開された最後のテーマは、ツール統合の必要性だった。ソフトウェアサプライチェーンのセキュリティーを確保するための上記のアプローチは、大掛かりな取り組みのように思えるかもしれないが、組織はそれぞれに対応するために個別のソリューションやベンダーを必要とするべきではない。実際、これら全てはプラットフォームアーキテクチャーで実現できる。ソフトウェアサプライチェーンプラットフォームは、さまざまなツールのインストール、管理、保守の複雑さとコストを排除する。また、組織はリリースサイクルを完全に可視化して制御できるようになり、単一の画面から管理およびセキュリティーを確保できるようになる。
サイバーセキュリティーの状況が進化するにつれ、ソフトウェアサプライチェーンセキュリティーへの注目はますます高まっていく。RSA 2024で特定された主要な開発分野と今後の方向性には、自動化およびオーケストレーションツールを活用してサプライチェーンセキュリティープロセスを合理化し、可視性を高めること、サプライチェーンセキュリティーに重点を置いた規制の展開とコンプライアンス要件を予測すること、サプライチェーンの整合性と透明性を高めるAIなどの新興テクノロジーを調査することなどが含まれる。
将来のソフトウェアサプライチェーンのセキュリティー課題に対処する策としては、コラボレーションとパートナーシップの重要性が強調された。コラボレーションとパートナーシップには、情報共有と官民パートナーシップという2つの主なアプローチが議論された。パートナーのエコシステムを活用するには、パートナー、テクノロジー、ツールを簡単に統合および接続できるオープンなソフトウェアサプライチェーンプラットフォームを組織が探す必要があることに留意することが重要だ。
冒頭にお伝えした通り、JFrogは2年連続で最も革新的なソフトウェアサプライチェーンセキュリティー部門の「Global InfoSec Award」を受賞。この賞は、ソフトウェアサプライチェーンセキュリティーのための堅牢で革新的なソリューションを提供するという、JFrogの取り組みの成果を物語っている。
出典:JFrog
この製品の詳細については、JFrog製品ページをご覧ください。
