5 開発者ワークステーションのセキュリティのベストプラクティス

セキュリティ侵害は、ソフトウェア開発ライフサイクルの早い段階で発生しています。 悪意のあるアクターは、いくつかの理由で開発者のワークステーションを標的にしています。 主に、ワークステーションは重要なコードとインフラストラクチャにアクセスできます。 また、脆弱性の導入が早ければ早いほど、侵害を特定するのが難しくなります。 開発者は、直接的な依存関係だけでなく、推移的な依存関係も信頼できる必要があります。 

サプライチェーン攻撃は 、2020年から2021年の間に300%増加しました。 2021年、 サイバーセキュリティ侵害 のほとんどは人為的ミスによって引き起こされましたが、コンピューターへの攻撃に関連するものはごくわずかでした。 また、開発者のワークステーション に起因するインシデントが増えているため、セキュリティを重視する組織にとって、開発者のワークステーションのセキュリティは最優先事項です。

ソフトウェア開発における不適切なセキュリティプラクティスは、信頼侵害や高額な損失につながります。 実際、米国におけるセキュリティ侵害の平均コストは 944万ドルに達します。 開発者は、製品の開発だけでなく、 安全な 開発にもますます責任を持つようになっています。

業界に関係なく、組織は、進化し増加する攻撃に備えるために、開発者ワークステーションを保護する必要があります。 

「Dockerで開発者ワークステーションをセキュリティで保護する」では、コンテナを使用して開発する際の主なセキュリティリスクと、 Dockerでワークステーションを保護する方法について説明します。 潜在的な攻撃ベクトルを理解することで、チームは進化するサイバー脅威を軽減できます。

ワークステーションを保護するために実行できる 5 つのアクションを見てみましょう。

1.マルウェア攻撃を防ぐ

マルウェアとは、ソフトウェア、ハードウェア、またはネットワークを攻撃することを目的とした悪意のあるソフトウェアを指します。 コンテナ開発では、マルウェアはコンテナ内で実行される潜在的に有害なアクティビティのために、特に損害を与える可能性があります。 悪意のあるアクターは、ホストのファイルシステムやネットワークなどの外部システムにアクセスすることもできます。

これを防ぐには、コンテナーで信頼できるイメージと依存関係のみを使用する必要があります。 また、可能な場合はアクセス許可を分離して制限し、最新の環境で最新のソフトウェアを実行する必要があります。

2.安全なソフトウェアサプライチェーンを構築する

サプライチェーン攻撃は2021年に300%増加し、セキュリティの専門家は、この攻撃がすぐに減速するとは予想していません。サプライチェーン攻撃は、直接的および推移的な依存関係を悪用します。

たとえば、推定数億台のデバイスに影響を与える脆弱性であるLog4Shellに精通しているかもしれません。 悪名高いSolarWindsのセキュリティインシデントの背後にある脆弱性も、サプライチェーン攻撃でした。

安全な サプライチェーンのベストプラクティスは、サプライチェーン攻撃を軽減するための最良の方法です。 これには、サプライチェーンのすべてのステップが信頼できるものであることを確認すること、主要な自動化を追加すること、ブランド環境が明確に定義されていることを確認することが含まれます。

3. ポリシーのローカル管理者権限のアカウント

ローカル管理ポリシーは、個々の開発者のニーズを理想的に満たします (たとえば、多くの開発者はローカル管理者権限を持つことを好みます)。 しかし、これらのポリシーによってチームのセキュリティを確保することも重要です。

組織は、開発者が安全に作業できるように、これらのポリシーを作成して適用する責任があります。 また、チームがローカル管理者権限をどのように処理するかは、チームの決定事項です。

セキュリティと自律性のバランスを見つけることは、アクティブな状態です。 バランスをとった後、それを忘れることはできません。 代わりに、組織は開発者が仕事を行えるように、ツールと構成を定期的に確認する必要があります。 そうしないと、不必要なブロッカーに遭遇したり、誤ってチーム、製品、顧客を危険にさらしたりする可能性があります。

4.危険な設定ミスを防ぐ

構成は、ソフトウェア開発ライフサイクルのほぼすべてのステップで必要です。 また、開発ツールを環境や機密データなどの運用リソースに接続します。

より寛容な構成は何でも可能に見えますが、その柔軟性は、悪意のあるアクターが機密性の高いリソースに誤ってアクセスできるようにしてしまう可能性があります。 一方、厳しすぎる構成は開発者を苛立たせ、生産性を制限します。

ユーザーは意図的に設定ミスを引き起こすことはありませんが、それを軽減することはできます。 すべてのチームと組織には、独自のツール、プロセス、およびネットワークに関する考慮事項があります。 そのため、構成に万能のソリューションはありません。 ただし、組織のニーズに関係なく、開発者のワークステーションと、IT 管理者がローカル構成を管理する方法を考慮してください。

5. インサイダーの脅威から保護する

2021年の侵害の20%は外部のアクターが原因の侵害ですが、内部のアクターが原因となっています。内部の攻撃者は、ソフトウェア開発の初期段階でセキュリティ対策を回避するために、外部の攻撃者と同じ戦術を使用します。 このため、外部からの攻撃者の機会を制限するセキュリティ対策は、内部の悪意のある攻撃者の機会も制限します。

攻撃がどこから来るかに関係なく、開発サイクルの早い段階で発生しています。 このことを念頭に置いておくと、安全な設定、構成、アクセス許可、およびスキャンを通知するのに役立ちます。

強化されたDockerデスクトップ:企業向けのより強力なセキュリティ

Hardened Docker Desktop などの機能により、Docker 開発者が不必要な中断や気を散らすことなく、安全かつ効率的に作業できるようにすることを目指しています。「 Securing Developer Workstations with Docker」では、業界の専門家によって開発およびテストされたコンテナセキュリティのベストプラクティスを共有しています。

ホワイト ペーパー「 Docker による開発者ワークステーションのセキュリティ保護」をお読みください。