AIネイティブな開発のサプライチェーンリスク対策 〜激動の開発現場でリスクに立ち向かう〜【ZennFes】

Transcript

1. AIネイティブな開発のサプライチェーンリスク対策 激動の開発現場でリスクに⽴ち向かう

2. 2 ©Cyber Security Cloud , Inc. 2026 新規上場 2020 会社概要

   企業理念 世界中の人々が安心安全に使える サイバー空間を創造する。 ソフテック 子会社化 提供開始 2013 提供開始 2017 US子会社設立 2018 提供開始 Managed Rules 提供開始 売上高 （百万円） 2023 2019 ジェネレーティブ テクノロジー設立 2024 シンガポール子会社設立 DataSign 子会社化 2025 社　 名 株式会社サイバーセキュリティクラウド 設　 立 2010年8月11日 代 表 者 代表取締役社長 兼 CEO　小池 敏弘 代表取締役CTO　　　　 渡辺 洋司 所 在 地 東京都品川区上大崎3-1-1 JR東急目黒ビル13階 事業内容 サイバーセキュリティサービスの開発・提供 グループ会社 Cyber Security Cloud Inc. （USA） Cyber Security Cloud Pte. Ltd. （Singapore） 株式会社ジェネレーティブテクノロジー 株式会社DataSign

3. 3 ©Cyber Security Cloud , Inc. 2026 AI時代、激動の開発現場 新しい開発パラダイムの台頭 バイブコーディングやハーネスエンジニア

   リングなどの新しいコンセプトが誕⽣ コーディングエージェントの⾃律化 「⼈間の認知限界」を遥かに超える コーディングエージェントの実装スピード 劇的な⽣産性の向上と進化 押し寄せる脆弱性ストーム 連⽇のように発⽣する深刻な脆弱性と それをついたゼロデイ攻撃 パッケージエコシステム汚染 OSSライブラリやプラグインを狙った マルウェア埋め込み 脅威の質と量の爆発的増加 コーディングエージェントの⽣産能⼒が⼈間の認知限界を超えていく中、 爆発的に増加する脅威にどう対抗するか？

4. 4 ©Cyber Security Cloud , Inc. 2026 開発現場をとりまく脅威の所在 ローカル環境 ビルド環境

   (CI/CD) ランタイム環境 ▪ OSSライブラリへの マルウェア混⼊ ▪ IDE等のプラグイン汚染 ▪ AIエージェントへの プロンプトインジェクション ▪ LLM Proxy等への侵害 … ▪ パッケージマネージャの フック経由でのマルウェア 実⾏ ▪ GitHub Action改ざんによる シークレット漏洩 ▪ ビルドランナー内での 悪意あるコードの実⾏ … ▪ 公開アプリの脆弱性をついた マルウェア混⼊‧侵害 ▪ クラウド設定ミスをついた クレデンシャル漏洩、 アカウント乗っ取り ▪ コンテナ環境の侵害 … 開発におけるあらゆるフェーズ‧環境が攻撃対象となりうる

5. 5 ©Cyber Security Cloud , Inc. 2026 俯瞰するサプライチェーンリスク対策の全体像 エディタ環境 VSCode等

   / 拡張機能 Extensionのインベントリ管理 利⽤状況の可視化と棚卸し Extension脆弱性‧改ざん検知 挙動‧権限の分析 許可リストによる事前審査‧配布 プライベートマーケットプレイス • • • • • 対象と脅威領域 可視化（把握） スキャン（検知） 制御（防⽌） ソースコード リポジトリ‧依存関係 SBOMの⾃動⽣成 間接依存含む依存関係の可視化 SCA / SAST の⾃動実⾏ シークレット‧PIIの流出検出 SHA pinningによるバージョン固定 ⾃動更新の抑⽌ / プロキシ経由 ビルド環境 ローカルPC‧ビルドVM ビルドホストの試算‧構成把握 EDR / 構成DB マルウェア検査 / 整合性確認 EDRで不審なファイル変更検知 クリーンルーム 再現可能ビルド CI/CD環境 GitHub Actionなど パイプライン ワークフロー / 利⽤Action可視化 権限‧シークレットの棚卸し 設定スキャン‧Action改ざん検知 実⾏ログの異常検知 Action SHA固定 最⼩権限ポリシー / OIDC統合 ランタイム環境 コンテナ‧サーバー 稼働中のプロセス‧通信の追跡 SBOMと実態の突合 リアルタイムの異常‧改ざん検知 RASP / CWPP / eBPFによる監視 最⼩権限 / ネットワーク制御 イミュータブルコンテナ運⽤ 当然全てを⼀気に⾏うのは無理なので、⼿始めに minimumReleaseAge の設定や脆弱性スキャン、シークレットスキャンくらいから

6. 6 ©Cyber Security Cloud , Inc. 2026 CSCで取り組んでいるサプライチェーンリスク対策 悪意あるパッケージ混⼊の阻⽌ 開発環境やCI/CDパイプラインにおいて、不正に挿⼊され

   る、あるいは偽装された悪意あるオープンソースライブ ラリの流⼊を⽔際でブロック。 サプライチェーンセキュリティツール「Socket」の導⼊ 実⾏‧ビルド環境の堅牢化 万が⼀不正なスクリプトが混⼊した場合でも、基盤を堅牢 化することにより特権の奪取やシステム内への横展開、 シークレットの流出といった致命的な被害を最⼩限に。 堅牢化Image「Docker Hardened Image」の採⽤ この2本柱をまずは全体的な⽅針として策定。製品チームごとに段階的に導⼊。 Socket について少し深掘ってご紹介

7. 7 ©Cyber Security Cloud , Inc. 2026 依存関係のリアルタイム検知‧防御サービス Socket Ecosystem

   Socket Source Code Analysis Metadata Analysis Socket Firewall client machine CI/CD env … check package package install request forward request 公開時の即時⾃動スキャン 主要なエコシステムのOSSパッケージを、リリース時に即刻多層 AI分析エンジンがスキャン。AIを利⽤して振る舞いベースで脅威 検出を⾏うほか、パッケージメタデータを分析してライセンスリ スクなども分析。 幅広い環境での対応とリアルタイムな⽔際防⽌ リポジトリ上の静的脅威検知はもちろん、ローカル開発環境や ビルド環境における開発者のインストールコマンド実⾏プロセス でのリアルタイムインターセプトが可能。

8. 8 ©Cyber Security Cloud , Inc. 2026 Socket導⼊で助かっているポイント AI-DLCプロセスにおける安⼼感 ローカル環境やビルド環境など多様な環境における悪意のあるライブ

   ラリ混⼊の危険を⽔際で防御。Claude Codeで実⾏しがちなノールッ クでのコマンド実⾏許可に安⼼感が強い。 インシデントへの即時対応能⼒ ⼤規模な攻撃キャンペーン（例: axios侵害）のような緊急性も⾼く、 影響も⼤きいインシデントにおいて、⾃社管理下にあるリポジトリ群が 被害を受けているか否かを単⼀ダッシュボードで瞬時に判別可能。 TAM（技術アカウントマネージャー）の⽀援 ポリシーチューニングや設定に関連して、専⾨家であるTAMの⽅から ⽀援を受けることができる（※要有料プラン）。

9. 9 ©Cyber Security Cloud , Inc. 2026 まとめ ✓ AI時代、激動の開発現場では膨⼤な⽣成コードによる認知負荷上昇と、公開ライブラリの改竄や

   脆弱性をついた攻撃など、サプライチェーンリスク上昇の両⾯で問題になっている ✓ DevOpsやAI-DLCの進展にともなって、サプライチェーンリスクの⼊り⼝となりうる環境も複雑化 しており、対応すべき事項の全体像を描くことも困難 ✓ 対応することは⼀時的なスピードの低下を⽣むが、コーディングエージェントを利⽤した 開発プロセスにおいて⽔際の対応がなされているかどうかはアクセルを踏み込めるかの分岐点 ✓ これらの対応策としてSocketで⽔際対応＋堅牢化されたコンテナイメージの利⽤という選択肢がある ✓ SocketではAIによるソースコード分析をベースにしたパッケージの脅威検知を準リアルタイムに ⾏っており、CVEのみに依存しない⽔際対策が可能

10. ©Cyber Security Cloud , Inc. 2026 10 ご清聴ありがとうございました