サプライチェーンセキュリティのChainguard、オープンソース脆弱性対策の業界連合「Athena」を設立

コンテナイメージのセキュリティ強化と既知脆弱性の排除を専門とするサプライチェーンセキュリティ企業Chainguardが、業界横断型の取り組み「Athena」の設立を発表しました。Athenaは、攻撃者がオープンソースソフトウェアの脆弱性を発見・悪用するよりも早く、その特定と修正を完了させることを目的とした連合体です。テクノロジー企業とセキュリティ研究者が協調して広く利用されるオープンソースパッケージの弱点を洗い出す仕組みを構築することで、従来の「悪用が起きてから対処する」という受動的な防衛姿勢からの転換を図ります。この発表は、Chainguardが5万2,000件以上のオープンソースパッケージを調査し、悪意あるコードや管理不全のパッケージが多数存在することを明らかにした最新の研究と軌を一にしています。

Athenaの設立は、脆弱性の修正をビルドや統合の段階、つまりデプロイ前に行う「シフトレフト」アプローチを業界全体で実践しようという動きの一環です。参加組織間での脅威インテリジェンスとリソースの共有により、脆弱性の発見から修正パッチの提供までの時間を大幅に短縮し、国家支援型を含む高度な攻撃者が悪用してきた「空白期間」を埋めることを目指します。Chainguardが開発したグレイウェアスキャナーは、Athenaの技術的な中核として機能する予定です。

米国と欧州でSBOM（ソフトウェア部品表）要件や供給チェーンの透明性に関する規制への関心が高まる中、このイニシアチブはオープンソースエコシステム全体の集合的防衛モデルの確立に向けた、技術的にも政策的にも意義深い一歩となります。

Chainguardについて
Chainguardは2021年にGoogleのオープンソースセキュリティチーム出身者らによって米国シアトルで設立されたサイバーセキュリティ企業です。強化されたコンテナイメージとソフトウェアサプライチェーンセキュリティツールを専門とし、企業のコンテナ環境における脆弱性リスクを低減します。累計調達額は2億5,000万ドルを超え、大手クラウドプロバイダーやFortune 500企業を顧客に持ちます。