SOMPO CYBER SECURITY
CI/CDはContinuous Integration / Continuous Delivery(Deployment)の略語です。
CI/CDはソフトウェア開発におけるベストプラクティスを集約したDevOpsの方法論です。
継続的統合(Continuous Integration)とは開発者による早いサイクルでのコード修正と共有を、継続的デリバリー/デプロイメント(Continuous Delivery(Deployment))は、継続的統合に基づき、ソフトウェアの試験環境や実環境へのリリースを不断に行うことを意味します。
ソフトウェア開発におけるコードの統合やデプロイメントプロセスを、自動化技術などを駆使し早めることにより、フィードバックを活用することでビジネスによりマッチした開発を可能にする方法論であり、アジャイル開発にも通じるコンセプトです。
このようなCI/CDプロセスをCI/CDパイプラインともいい、フィードバック機能を有する自動化ツールによって実現することが一般的です。
CI/CDプロセスにおいては、DevSecOpsにおいて用いられるセキュリティ対策が採用されます。具体的には、ソースコード解析やセキュリティテスト、ランタイムプログラムを解析する各種テストが開発の過程で用いられます。
一方で、CI/CDプロセスは迅速なコードの開発とリリースを主眼とすることから、脆弱性の発生やセキュリティ機能の不備、オープンソースに起因するサプライチェーンリスクなどを発生させる可能性があります。
米国国立標準技術研究所(NIST)は、マイクロサービスアプリケーション開発のためのDevSecOps実装に関するガイダンスSP800-204CにおいてCI/CDに言及しています。
脆弱性診断(Vulnerability Assessment)あるいはセキュリティ診断は広く普及した対策であり、多くの組織・企業がサイバーセキュリティ強化のために取り入れています。ソフトウェアやシステム、クラウドサービス等の脆弱性は、攻撃を招くアタックサーフェスの1つです。クラウドが利用されDXが推進される今日、脆弱性を特定し対応する施策の1つである脆弱性診断の重要性は日々高まっています。 本記事...
2023年11月8日~9日にかけて、情報セキュリティに関する国際会議であるCODE BLUE 2023が開催されました。会議には駐日ウクライナ大使セルギー・コルスンスキー氏やセキュリティ専門家ミッコ・ヒッポネン氏を始めとする様々なスピーカーが登壇した他、コンテストやワークショップも行われました。 SOMPO CYBER SECURITYではインシデントサポートやサプライチェーンリスク評価、脅威イン...
2022年11月にChatGPTがリリースされ、連日様々な話題が報じられています。公開から2か月で月間アクティブユーザーが1億人に達したと報道されました。 過去にはTikTokが約9か月かけて、Instagramが2年半かけて達成した1億ユーザーを、ChatGPTは史上最速で達成したといえます。多くの人々がChatGPTの能力を試し、様々なアイデアを実行する一方、サイバーセキュリティの視点からの研...
原文:Dov Goldman@Panorays| 2023年1月12日 翻訳・編集:Makiko Fukumuro@SOMPO CYBER SECURITY| 2023年2月1日 組織の強固なサイバーセキュリティをより簡単にかわして、攻撃をしかける手段として、サードパーティを標的とする攻撃が増加しています。IPAの「情報セキュリティ10大脅威」にも毎年登場するいわゆる「サプライチェーンの弱点を悪用...