Checkmarx社、「オープンソース時代のサプライチェーンセキュリティ： グローバルトレンドと日本市場の展望」説明会を都内で開催

 

 

Checkmarx社フィールドCTO・ザキ･ゾレンシュタインと日本支社長・中道良成

ゾレンシュタインは、アプリケーションコードの約9割をオープンソースコードに依存する開発環境のセキュリティリスクについて、人気パッケージ開発者が第３者により侵害され、悪質なコードに置き換えられたり、不正コードを実装したりするケースが多発していると指摘、世界的に普及しているSNSアプリで使用されている人気パッケージで起きた具体的な事例などを挙げて説明しました。

「１ヶ月に1500以上のマリシャスパッケージを公開したRED-LILIのケースでは、NPM アカウントの作成プロセスを完全に自動化し、パッケージごとに１つの専用アカウントを開設していました。攻撃者は日々進化しています。OSS開発者の負担が増える中、業界で同一事故IDを作成するなどの取り組みや、OSSを利用する企業の対策は急務です」と、ゾレンシュタインは現状を訴えました。

 

今年5月にCheckmarx社日本支社長に就任した中道良成は、「近年、ソフトウェアサプライチェーンに対するサイバー攻撃が増加する中、OSSを使用する企業や組織が独自にセキュリティコントロールすることはほぼ不可能です。米大統領令にも含まれたことでSBOMへの関心が高まっていますが、SBOMの作成やマリシャスパッケージの検知に留まらず、オープンソースコードプロジェクト内での異常な行動の検知や継続的な攻撃ハンティングなど、より包括的かつ将来を考えたサプライチェーンセキュリティ対策が必要です」と述べ、Checkmarx Oneのように、シフトレフトを実現させ、包括的かつ継続的なサポートを提供する製品は、オープンソース・ジャングルにおいて、セキュア開発のキーソリューションとなることを説明しました。

Checkmarx社について https://checkmarx.com 
·        Checkmarx社は、アプリケーション・セキュリティ・テスト（AST）の境界を常に押し広げ、世界中の開発者にとってセキュリティをシームレスかつシンプルにすると同時に、CISOに必要な信頼性と制御性を提供しています。ASTのリーダーとして、Checkmarxは業界で最も包括的なASTプラットフォームであるCheckmarx Oneを提供し、開発者とセキュリティチームに比類のない精度、カバレッジ、可視性、ガイダンスを提供し、独自のコード、オープンソース、API、コードとしてのインフラストラクチャなど、最新のソフトウェアのすべてのコンポーネントにわたってリスクを軽減します。
·        フォーチュン50社の半数近くを含む世界中の1,800社以上のお客様が、Checkmarxのセキュリティ技術・専門的な研究・グローバルサービスを信頼し、開発を迅速かつ大規模に安全に最適化しています。
·        また、ガートナー・マジック・クアドラントでは、5年連続AST分野のリーダーとして評価されています。

 

• 設　立：2006年イスラエルにて
• 創業者：現CTOのMaty Siman *CEOは2006年から現在までEmmanuel Benzaquen
• 本　社：米国アトランタ *イスラエル・テルアビブ近郊Ramat Ganにも本社機能あり
• 社　員：950名（2022年8月現在）
• 資　本：2020年にHellman & Friedman (San Francisco本社。世界的private equity)が買収
• 対応言語：25以上の開発言語およびフレームワークが利用可能
• 顧　客：1,800社以上（70カ国以上。Fortune50企業の半数以上がユーザー）

Checkmarx社日本支社： https://checkmarx.com/ja/