【プレスリリース】ソフトウェアサプライチェーンのためのセキュリティプラットフォーム「Shisho Cloud（シショウクラウド）」事前登録の受付を開始

ソフトウェア開発者向けのサイバーセキュリティ事業を展開する株式会社Flatt Security（代表取締役社長：井手康貴）は、ソフトウェアサプライチェーンのためのセキュリティプラットフォーム「Shisho Cloud（シショウクラウド）」のサービス公開に先立ち、本サービスリリース時に優先的にご案内をご希望される方向けに、事前登録を本日より開始することをお知らせいたします。

事前登録は公式サイトより可能です。

「Shisho Cloud（シショウクラウド）」とは

1つのソフトウェアを作り、顧客に届けるまでの一連の過程（ソフトウェアサプライチェーン）は、非常に多くのソフトウェア・サービス・企業により構成されています。このような時代だからこそ、いま、ソフトウェアサプライチェーンに関するセキュリティリスクの管理が重要視されるようになってきています。

Shisho Cloudは、そのようなソフトウェアサプライチェーンに関連するセキュリティ上の問題発見から修正までを、半自動的にサポートするセキュリティプラットフォームです。

GitHubなどのソースコード管理システムを連携していただくだけで、Shisho Cloudは、その運用状態やその上で管理されているソフトウェアの依存関係・設定ファイルなどを継続的かつ自動的にレビューします。これにより、自組織がソフトウェアサプライチェーンに関するリスクをどの程度抱えているのか、それはどうしたら改善できるのかをソフトウェアサプライチェーンに関するセキュリティフレームワークに沿って常に評価・モニタリングしていだけるようになります。

「Shisho Cloud（シショウクラウド）」の特徴

■ソフトウェアサプライチェーンに対する包括的なセキュリティレビュー・改善アクションの半自動提案を実現

直近ではソフトウェアサプライチェーンの中に存在する重要なリスクの発見と修正の半自動的なサポートを目的とした、以下の機能を提供予定です。

• GitHubなど、各種ソースコード管理システムの安全な運用や監査を補助する機能（例:組織内のコラボレータ管理や、重要なブランチへのコミット前レビューの要求等、組織内での運用がポリシー通り実施されているかの継続的チェック等）

• IaC(Infrastructure as Code)コードを継続的かつ自動的にレビューし、その中の設定不備の検出・具体的な修正方法の提案を行う機能（例: 意図せず公開されたS3バケットの検出）

• クラウドサービスのAPIキー/アクセスキー等のシークレットや、個人情報等が、ソースコード内に不適切にハードコードされていないかを継続的に検査する機能

• ソフトウェアパッケージの依存関係を解析・管理することで、既知の脆弱性が存在する依存先や知らぬ間に変更されうるような依存先、悪意のある依存先を検出し、更新を提案する機能

• CI/CDワークフローの外部スクリプト/ワークフローへのリスクのある依存や、外部からのスクリプト注入を許すようなワークフローを検出する機能

また、長期的には SLSA や in-totoのようなソフトウェアサプライチェーンに関するフレームワークや、OpenSSFのような同領域に関するコミュニティの各種プロジェクトの展開を踏まえ、 開発環境から実際のアプリケーション運用環境までの一貫したサポートを提供していくことを予定しております。

■単一の開発チームやプロダクトのみに留まらず、開発組織全体を横断してリスク管理を行うようなユースケースにも対応 複数の開発チームが組織内に存在している場合や、複数のソースコード管理システムが利用されている場合であっても、全チームの状況を俯瞰してリスクを把握できます。そのため、複数の開発チームのセキュリティ管理を一手に担っているようなチームの方にも簡単にご利用いただけます。

■GitHubなどの普段お使いのソースコード管理システムを連携するだけで利用開始できる手軽さ ソースコード管理システム等の連携さえしていただければ、その他の特別な設定は必要なく、すぐに利用を開始できます。この場合、本サービスを提供するFlatt Securityが持つナレッジや、ソフトウェアサプライチェーンに関する各種フレームワークを元に設計された観点での自動レビューが実施されます。

■高いカスタマイズ性 — 自社組織のポリシーの定義・運用も簡単 Flatt Securityが提供するセキュリティチェックの他にも、自社固有のポリシーを定義・利用することもできます。その際には、ポリシー記述言語として有名な Regoはもちろん、WebAssemblyにコンパイル可能な複数のプログラミング言語を用いることができます。

例えば「GitHubのBranch Protection Ruleにおいて、ある名前のブランチに限っては、他のブランチと異なって〜という保護設定がなされている」といったポリシーを、RegoやRustなどのプログラミング言語で記述することが可能です。

このようにセキュリティポリシーをコードとして表現・管理する「Policy as Code」技術は、インフラストラクチャがコードとして表現されるようになった流れと同様に、近年注目されている技術です。Shisho Cloud は、そのような先進的な取り組みを支える基盤としてご活用いただける、日本初のプラットフォームです。

サービス提供開始の背景

ソフトウェア開発が高速に、既存のソフトウェアへの多くの依存のもとに、大規模に行われるようになった昨今において、 ソフトウェアのサプライチェーンに関するセキュリティ上の脅威・事件が増加してきています。例えば Codecov等においておきたインシデント（※1）は、多くのソフトウェアサプライヤーにおけるインシデントを引き起こした事例の一つです。また、2021年の1年間でソフトウェアサプライチェーン攻撃の観測例は前年比650%増を記録しているという報告もあります。（※2）

だからこそShisho Cloudは、それらのソフトウェアサプライチェーンの問題のリスクを最小化するために、またこの問題に開発者が向き合うコストを最小化するために、リスクの発見から修正を半自動的にサポートするプラットフォームとして開発されました。

Flatt Securityは、「セキュリティの力で信頼をつなげ、クリエイティブな社会を実現する」というミッションのもとに、今後も多くの開発者のセキュリティ課題を解決していくよう、サービス向上に努めてまいります。

（※1）Bash Uploader Security Update （※2）Sonatype's 2021 State of the Software Supply Chain (Sonatype)

「Shisho Cloud（シショウクラウド）」事前登録について

Shisho Cloudは4月上旬より、事前登録いただいた方から順次提供についてのご案内を開始する予定です。また、2022年3月末日までに事前登録いただいた方への特典として、通常必要となる初期費用を無償にて提供いたします。（※3）ぜひ、この機会にお問い合わせくださいませ。

公式サイトより事前登録をよろしくお願いいたします。

（※3）適用条件がございます。詳細はお問い合わせください。