【Black Hat Asia 2025】CICDGuard ― ソフトウェア・サプライチェーンの守護者

こんにちは、サイバーマトリックスのFaridです。前回に続き、「Black Hat Asia 2025」のセッションレポートを書かせていただきます。

CICDGuard - Securing the Software Supply Chain

（Cソフトウェア・サプライチェーンの守護者）

　本セッションでは、Pramod Rana氏がCI/CDパイプラインに潜むセキュリティの課題に深く切り込みました。ソフトウェア開発ライフサイクルがますます自動化・相互接続される中、サプライチェーンを標的とした攻撃のリスクも急増しています。

　Rana氏が開発したオープンソースツール「CICDGuard」は、この課題に対する有力なソリューションを提供します。CI/CDインフラをグラフデータベースとしてモデル化し、以下を可能にします：

• GitHub、Jenkins、JFrogなど、複数システム間のつながりを可視化

• 設定ミスや安全でない初期設定の検出

• 単一の脆弱性がパイプライン全体に波及する経路の把握

　特に印象的だったのは、CICDGuardが問題の重大度を分類し、色分けされたグラフUIで視覚的に提示していた点です。たとえば、赤色のノードはクリティカルな設定ミスを示し、緑や灰色は緊急性の低い警告を表していました。

具体的な例としては以下のようなものが紹介されました：

• 信頼されていないコードによってトリガーされるJenkinsジョブ

• セキュリティに課題のある、あるいは更新されていないサードパーティ製プラグインを使用するGitHub Actions

• 複数のシステムへSSO（シングルサインオン）でアクセス可能なアカウントにMFA（多要素認証）が未設定

　Rana氏は、以下の三つのアプローチを通じて、開発・運用体制全体の強化が重要であると強調しました：

1. セキュア・バイ・デフォルトなツールの導入を優先すること

2. ベンダーと積極的にセキュリティの議論を行うこと

3. 強固なモニタリング体制とインシデント対応能力を構築すること

　サイバーマトリックスにおいても、CI/CDは迅速なデリバリーを支える根幹の仕組みであり、このセッションは非常にタイムリーな内容でした。CICDGuardは、当社の複数環境にまたがるセキュリティチェックを可視化・自動化するための有力な統合ツールとなり得ます。

　本ツールは設計思想もドキュメントも非常に洗練されており、コミュニティも急速に拡大中です。ご関心のある方は GitHub上のCICDGuard をぜひご覧になり、気に入ったら⭐️で応援してみてください。