CI/CDパイプラインセキュリティ

CI/CDパイプラインセキュリティとは、ひとことで言えば、継続的インテグレーション・継続的デリバリーの自動化基盤自体を攻撃から守るための施策群です。たとえば、Jenkinsの認証情報漏えい、GitHub Actionsのワークフロー注入、ビルドサーバへの不正アクセスといった脅威に対し、最小権限のシークレット管理、署名付きアーティファクト、ビルド環境の隔離、ログ監査などで対策します。SolarWinds事件以降、パイプラインがサプライチェーン攻撃の主要標的となっており、SLSA等のフレームワークで防御レベルを定義します。「コードが安全でもパイプラインが乗っ取られればすべて無意味」という観点が重要です。