PCCC24（第24回PCクラスタシンポジウム）：Pacific Teck Japan テーマ３「そのコンテナ本当に大丈夫？マルウェアなどのセキュリティ対策ツール 『Anchore Enterprise』」

Anchore Enterprise の主な機能と利点

Anchore Enterprise は、ソフトウェアサプライチェーンをセキュリティリスクから保護すると同時
に、より簡潔でより素早く開発することができる最適化された開発環境を提供します。 Anchore
Enterprise は忠実度の高い SBOM を使用してオープンソースの依存関係を継続的に可視化して、脆弱
性やマルウェア、設定 の誤りなどの問題となりえる原因を正確に特定することができます。柔軟にポ
リシーを制御することで重要な問題に集中することができるようになり、業界標準のコンプライアン
スを確保することができます。

主要な機能

● 隅々まで対応するソフトウェアサプライ
チェーンセキュリティ は、ソースコード
のリポジトリや CI/CD パイプライン、コ
ンテナのレジストリとランタイム環境な
ど、ソフトウェアサプライチェーンのあ
らゆる段階でセキュリティリスクをスキ
ャンして分析します。

● マルチレベルの依存関係の 検出には、ア
ーカイブファイル とネスト関係にあるも
のお含め、直接的および推移的なオープ
ンソースの依存関係とライセンス 問題に
対応します。これにより 重要な脆弱性を
見逃さないようにすることができます。

● 忠実性の高い SBOM には、各コンポーネ
ントの広範なメタデータが含まれている
ため、Anchore Enterprise は特定のディ
ストリビューションの脆弱性をピンポイ
ントで特定し、誤検出を減らすことがで
きます。

● SBOM drift detection は、ビルドごとに
SBOM の変更を追跡し、新たな依存関係
の発生や、侵害されたソフトウェアライ
センス、ビルドに侵入しようとする悪意
のある試みによって引き起こされる予期
せぬ変更をセキュリティ担当者に警告し
ます。

● Post-deployment vulnerability
monitoring は、ソフトウェアアプリケー
ションの SBOM を継続的に分析し、新た
に発生した脆弱性について影響やゼロデ
イ問題に影響する個所を即座に特定する
ことができます。

● False-positive management は、修正す
べき脆弱性を特定し、許容リストを作成
して誤検出された問題を修正 することで
不要な作業を減らすことができます。
● 100% API coverage and pre-built
integrations は、ソースコードのリポジ
トリや発券システム、 CI/CD パイプライ
ン、コンテナレジストリ、コンテナタイ
ムライン環境を容易に統合し、開発者に
使いやすい環境を提供します。

● Automated remediation
recommendations and workflows は、
修正情報を共有することができ、セキュ
リティ担当者と開発担当者がより密接に
協力して迅速に問題を修正できる環境を
作ります。

● Flexible policy rules は、柔軟にポリシ
ールールをせっていすることができ、
SBOM やセキュリティ問題から得られた
メタデータに基づいて、開発プロセスや
デプロイメント・プロセスにおける通知
やポリシーゲートの変更が可能です。

● Out-of-the-box policy packs は、導入後
に速やかに使用することができることを
意味し、 CIS や Docker BenChmarks、
NIST、FedRAMP、HIPAA、PCI DSS、
CISA、DISA 等に準拠するプロセスを自
動化します。

● Easy-to-use reporting のレポートは使い
やすく、開発者とセキュリティ担当者は
セキュリティ問題に関する状況を評価
し、問題を明確にして進捗を共有するこ
とができます。

Anchore Enterprise の仕組み


Anchore について
Anchore はソフトウェアセキュリティサプライチェーンのリーダーです。 Anchore のテクノロジー
は、ソフトウェア開発プロセスの各段階において継続的なセキュリティとコンプライアンスチェック
をシームレスに組み込むことができ、セキュリティリスクが本番環境で生じることを防ぎます。
より詳しい情報は www.anchore.com をご確認ください。

お問い合わせ先

Pacific Teck Japan合同会社
[email protected]