メインコンテンツまでスキップ

自動トリアージ(予定)

警告

この機能は今後のご提供を予定しています。ご興味がある方は、アカウント担当またはサポート窓口までお問い合わせください。

Takumi Runner は、マルウェアや大規模キャンペーンの発見時に、蓄積済みのトレースデータを自動的に走査し、影響を受けたジョブをユーザーに通知する自動トリアージ機能の提供を予定しています。

自動トリアージとは

CI/CD パイプラインを標的としたサプライチェーン攻撃は、悪意のあるパッケージや改ざんされた GitHub Actions を通じて広範囲に影響を及ぼすことがあります。こうした脅威が公になった時点で、自社の CI/CD パイプラインが影響を受けていたかどうかを素早く判断することは、インシデント対応の初動として極めて重要です。

自動トリアージ機能では、新たなマルウェアや大規模キャンペーンが発見された際に、Takumi Runner が蓄積済みのトレースデータに対して自動的に走査を実施します。影響を受けた可能性のあるジョブが検出された場合は、ユーザーに通知を行い、迅速なトリアージと対応を支援します。

想定されるユースケース

自動トリアージ機能は、以下のようなシナリオで活用できることを想定しています。

  • 悪意のある npm / PyPI パッケージの発見時 に、過去のビルドでそのパッケージのインストールや当該パッケージによる不審な通信が記録されていないかを自動的に走査する
  • GitHub Actions の改ざんが報告された時 に、該当する Action を使用したジョブのトレースから不正な挙動がなかったかを確認する
  • 大規模なサプライチェーン攻撃キャンペーンの公表時 に、公開された IoC(Indicator of Compromise)をもとにトレースデータを横断的に走査し、自社への影響範囲を特定する

メリット

自動トリアージ機能を利用することで、以下のメリットが得られます。

  • 対応の初動が速い こと。脅威情報の公開から自社への影響確認までのリードタイムを大幅に短縮できる
  • 過去に遡った分析ができる こと。蓄積済みのトレースデータに対して走査を行うため、攻撃が発生した時点ではまだ脅威として認知されていなかったケースにも対応できる
  • 手動調査の負担を軽減できる こと。大量のジョブ実行履歴に対して人手でトレースを確認する必要がなくなり、セキュリティチームはトリアージ結果の判断と対応に集中できる

制約事項

一方で、以下の制約事項を把握しておく必要があります。

  • 走査対象はトレースの保存期間内に限られる こと。保存期間(90 日間)を超過したジョブについては走査の対象外となる
  • IoC に依存する こと。走査はマルウェアや攻撃キャンペーンに関連する既知の IoC をもとに実施されるため、IoC が公開されていない脅威には対応できない
  • 通知は影響の可能性を示すものである こと。走査結果は「影響を受けた可能性がある」ジョブの報告であり、実際の被害の有無はユーザー自身が確認する必要がある
最終更新