Google Cloud で実践する DevSecOps とソフトウェアサプライチェーンセキュリティ
セッション概要
昨今の攻撃手法の激化や、OSS 依存関係に潜むリスクにより、アプリケーションそのものだけでなく、開発からデプロイに至るソフトウェアサプライチェーン全体の保護が必要となっています。 本セッションでは、Google Cloud のマネージドサービスを組み合わせ、コードのコミットから本番運用までを一貫して保護する DevSecOps の実践的なアーキテクチャを解説します。Cloud Build のプライベートプールによる隔離されたビルド、SBOM とビルドの来歴による透明性の確保、そして Binary Authorization を用いたポリシーベースのデプロイ制御まで、一連のパイプライン構築手法を具体的な例を交えて紹介します。
想定オーディエンス・得られる学び
想定オーディエンスGoogle Cloud を利用しているアプリケーション開発者、DevOps エンジニアコンテナセキュリティの強化や CI/CD パイプラインの設計を担当する SRE、プラットフォームエンジニア自社サービスのセキュリティ要件定義や運用設計に関わるエンジニア得られる学びセキュアなビルド環境: Cloud Build プライベートプールや IAM を活用し、安全な CI 環境を構築する方法。サプライチェーンの可視化: ビルドの来歴と SBOM の生成により、ソフトウェアの依存関係と正当性を証明する SLSA 対応の手法。デプロイパイプラインの制御: 脆弱性スキャンによるイメージの脆弱性管理、Binary Authorization を用いて信頼できないコンテナのデプロイをブロックする仕組み。ランタイムセキュリティ: Container Threat Detection を用いた、脅威検知の運用。
セッション詳細
昨今、Next.js などの主要フレームワークに見つかった脆弱性や、ビルドパイプラインを狙った攻撃事例は、開発者に対して「コードを書く」以外のセキュリティ対策を強く求めています。本セッションでは、Google Cloud のネイティブ機能をフル活用し、開発スピードを損なうことなく、強固な DevSecOps パイプラインを構築する具体的なステップを解説します。1. Cloud Build によるセキュアなビルド環境の構築 攻撃者によるビルド環境への侵入や、認証情報の漏洩を防ぐため、CI/CD の基盤を堅牢化します。プライベートプールの活用: パブリックなインターネットから隔離された VPC ネットワーク内でビルドを実行し、ソースコードやビルドアーティファクトへの不正アクセスを防ぐアーキテクチャを紹介します。IAM による権限管理: ビルドプロセスに必要な権限のみを付与する最小権限の原則の実装について解説します。2. ソフトウェアサプライチェーンの透明性確保(SBOM / ビルドの来歴) 「誰が、いつ、どのソースコードからビルドしたのか」を証明し、含まれるライブラリを把握します。ビルドの来歴の生成: ビルド時に自動的に署名付きの来歴情報を生成し、改ざん検知やトレーサビリティを担保する方法を説明します。SBOM の活用: アプリケーションの依存関係リスト(SBOM)を生成・管理し、脆弱性が発見された際に即座に影響範囲を特定できる体制を作ります。3. 脆弱性検出とデプロイ制御(Binary Authorization) 作成されたコンテナイメージが、セキュリティ基準を満たしているかをチェックします。コンテナ脆弱性スキャン: Artifact Registry 等と連携した自動スキャンの仕組みと、開発フローへの組み込みについて触れます。Binary Authorization による強制: 「脆弱性が無いこと」「ビルドの来歴が正しいこと」などのポリシーを満たさない限り、GKE や Cloud Run へのデプロイをブロックする設定を行い、人為的なミスやポリシー違反のリリースを防ぎます。4. 実行環境における脅威検知(Container Threat Detection) デプロイ後の対策として、実行中のコンテナに対する脅威への備えを解説します。Security Command Center の活用: Container Threat Detection を有効化し、クリプトマイニングや不審なバイナリ実行など、本番環境での異常な挙動を検知・対応するフローを紹介します。これらの一連のフローを統合し、開発者が意識せずとも Google Cloud 上でセキュアなアプリケーションを提供できるプラットフォームとしての全体像を提示します。