サプライチェーン攻撃は 2020年から2021年の間に300%増加し、セキュリティ侵害がソフトウェア開発ライフサイクルの早い段階で発生していることが明らかになりました。 調査によると、2021年には、 サイバーセキュリティ侵害の80 %が人為的ミスによるものであり、20%がデスクトップとラップトップへの攻撃に関係していました。
開発者ワークステーションは、いくつかの理由で標的にされています。 ワークステーションは重要なコードとインフラストラクチャにアクセスでき、脆弱性が早期に導入されるほど、侵害を特定することが難しくなります。 開発者は、直接使用する依存関係だけでなく、推移的な依存関係と呼ばれるそれらの依存関係の依存関係も信頼する必要があります。 開発者ワークステーションに起因するインシデントが増えるにつれ、開発者ワークステーションのセキュリティは、セキュリティを重視する組織にとって最優先事項である必要があります。
ソフトウェア開発における不十分なセキュリティ慣行は、信頼を破る侵害と高額な損失につながり、 米国ではセキュリティ侵害の平均コストは944万ドルに達します。 開発者は、製品の開発だけでなく、 安全な 開発にもますます責任を負っています。
業界に関係なく、組織は、進化し増加する攻撃に備えるために、開発者ワークステーションを保護する必要があります。
Docker のホワイト ペーパー「Docker による開発者ワークステーションの保護」では、コンテナーを使用して開発する際の主なセキュリティ リスクと、Docker を使用してそれらのリスクを最適に軽減する方法について説明します。 潜在的な攻撃ベクトルを理解することで、チームは進化するセキュリティの脅威を軽減できます。
開発者ワークステーションをセキュリティで保護するために実行できる 5 つのアクションを見てみましょう。
1.マルウェア攻撃を防ぐ
マルウェアとは、ソフトウェア、ハードウェア、またはネットワークを攻撃することを目的とした悪意のあるソフトウェアを指します。 コンテナ開発では、コンテナ内で実行される潜在的に有害なアクティビティだけでなく、ホストのファイルシステムやネットワークなどの外部システムへのアクセスの可能性も、マルウェアに特に損害を与える可能性があります。
コンテナーは、信頼できるイメージと依存関係のみを使用し、可能な場合はアクセス許可を分離および制限し、最新の環境で最新のソフトウェアを実行することによってセキュリティで保護する必要があります。
2.安全なソフトウェアサプライチェーンを構築する
サプライチェーン攻撃は、直接的および推移的な依存関係を悪用します。 推定数億台のデバイスに影響を与える脆弱性であるLog4Shellに精通しているかもしれません。 悪名高いSolarWindsセキュリティインシデントの背後にある脆弱性は、サプライチェーン攻撃でもありました。 サプライチェーン攻撃は2021年に300%増加し、セキュリティの専門家はそれらがすぐに減速するとは予想していません。
サプライチェーン攻撃は、 安全なサプライチェーンのベストプラクティスによって軽減できます。 これには、サプライチェーンのすべてのステップが信頼できることを確認すること、主要な自動化を追加すること、ブランド環境が明確に定義されていることを確認することが含まれます。
3. ポリシーのローカル管理者権限のアカウント
個々の開発者は、ワークステーションに対するニーズが異なる場合があります。 多くの開発者は、ローカル管理者権限を持つことを好みます。 組織は、開発者が安全に作業するのに役立つポリシーを作成して適用する責任があります。 チームがローカル管理者権限をどのように処理するかはチームの決定であり、結果はチームごとに異なる場合がありますが、ローカル管理者権限に関する会話は、チームを安全に保つために必要です。
セキュリティと自律性のバランスを見つけることはアクティブな状態です。 バランスが取れて忘れられることはありません。 代わりに、組織はツールと構成を定期的に確認して、開発者が不必要にブロックされたり、チーム、製品、顧客を誤って危険にさらしたりすることなく、仕事を行えるようにする必要があります。
4.危険な設定ミスを防ぐ
構成は、ソフトウェア開発ライフサイクルのほぼすべてのステップで必要であり、開発ツールを環境や機密データなどの本番リソースに接続します。 より寛容な構成では何でも可能に見えますが、残念ながら、その柔軟性により、悪意のあるアクターが機密性の高いリソースに誤ってアクセスできるようになる可能性があります。 構成が厳しすぎると、開発者の不満が生じ、生産性が制限されます。
設定ミスは意図的に発生することはありませんが、軽減できます。 すべてのチームと組織には独自のツール、プロセス、およびネットワークに関する考慮事項があるため、構成のための万能のソリューションはありません。 組織のニーズに関係なく、開発者のワークステーションと、IT 管理者がローカル構成を管理する方法を考慮していることを確認してください。
5. インサイダーの脅威から保護する
ほとんどの侵害は組織外から発生しますが、 2021年の侵害の20% は内部関係者によって引き起こされました。 外部の攻撃者がソフトウェア開発ライフサイクルの初期段階を標的にするのと同じ理由で、内部の悪意のある人物は同様の戦略を使用して内部のセキュリティ保護手段をバイパスしています。
外部の攻撃者の機会を制限するセキュリティ対策は、内部の悪意のある人物の機会も制限します。 設定、構成、アクセス許可、およびスキャンを検討するときは、攻撃がどこから来たかに関係なく、攻撃の傾向は開発サイクルの早い段階で移動しているため、開発者ワークステーションのセキュリティ保護がセキュリティ戦略の重要なステップになることに注意してください。
強化されたDockerデスクトップ:企業向けのより強力なセキュリティ
Hardened Docker Desktop のような機能により、 Docker を使用するすべての開発者が、速度を落としたり、不必要に気を散らしたりすることなく、安全に作業し、安全な製品を作成できるようにしたいと考えています。 「Docker による開発者ワークステーションのセキュリティ保護」では、業界の専門家によって開発およびテストされたコンテナー セキュリティのベスト プラクティスを共有しています。
ホワイト ペーパー「 Docker による開発者ワークステーションのセキュリティ保護」をお読みください。
フィードバック
「0開発者ワークステーションのセキュリティのベストプラクティス」に関する5つの考え