SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

Developers Summit 2023 Summer セッションレポート(AD)

ソフトウェア署名をクラウドで実現し、CI/CDパイプラインをセキュアに構築する方法とは?

【D-3】セキュアに構築するCI/CDパイプラインの最前線!~事例でみるソフトウェア署名をクラウドで実現する方法~

  • X ポスト
  • このエントリーをはてなブックマークに追加

 ビジネス環境の急激な変化に即応するため、すばやいアプリケーションの開発が求められている。その一方で、悪意のあるマルウェアが混入されないよう、コードを常にセキュアに維持する必要もある。2023年6月以降、ソフトウェア署名に物理トークンの使用が義務化されることとなった。デブサミ2023夏のデジサート・ジャパンの講演では、この課題を克服し、効率的かつ安全なCI/CD(継続的インテグレーション/継続的デリバリー)パイプラインを構築する方法が具体例とともに紹介された。

  • X ポスト
  • このエントリーをはてなブックマークに追加

ソフトウェアの信頼性確保のためのコードサイニング証明書の新基準

 DigiCert(デジサート)は、信頼される認証局事業者を目指すTLS(SSL)/PKI ベンダーのリーダーで、日本ではデジサートジャパン合同会社の名で活動している。シニアセールスエンジニアの中村圭祐氏は証明書の役割と、コード署名用証明書(コードサイニング証明書)の重要性について語った。

デジサート・ジャパン 技術営業部 シニアセールスエンジニア 中村圭祐氏
デジサート・ジャパン 技術営業部 シニアセールスエンジニア 中村圭祐氏

 暗号化(情報漏えい防止)、署名(改ざん防止)、認証(なりすまし防止)の3つの機能を有している。サーバー証明書はサービスの信頼性を確認するために用いられる一方で、コードサイニング証明書は、ユーザーにそのアプリケーションが信頼性のあるものであることを示すために用いられる。ソフトウェアの配布がデジタル化された現代において、この証明書はコードの真正性を示す重要なメカニズムとなっている。

証明書の3つの役割
証明書の3つの役割

 中村氏は、さまざまなソフトウェア署名セキュリティインシデントの事例を紹介した。PCメーカーASUSのBIOS改ざん検知機能のマルウェア被害や、それによる海運企業での大規模な再インストール被害、ソーラーウインズ社のサプライチェーン攻撃などが挙げられた。特にソーラーウインズ社の攻撃後に米国政府は、「国家のサイバーセキュリティ強化について」という大統領令を発布し、ソフトウェアのコンポーネント情報(SBOM)の提出が求められるようになった。また、コロニアルパイプラインへのランサムウェア攻撃など、社会全体に影響を与える事件が増えており、それに伴い対策としてのポリシーやフレームワーク策定の必要性が高まっている。

 中村氏は、多くのインシデントで証明書の秘密キーが安全でない場所に保存されていたと説明。この課題を解決するために認証局ブラウザフォーラム(CA/ブラウザフォーラム)がコードサイニング証明書の基準を改定。新基準では、秘密キーは認定ハードウェアに保存することが求められ、2023年6月1日から適用された。CA/ブラウザフォーラムは、デジサートをはじめとする認証局、インターネットブラウザ、安全な電子メールソフトウェア、オペレーティングシステム、その他のPKI対応アプリケーションのベンダーが集まって、業界ガイドラインを公布する自発的なコンソーシアムだ。

秘密キーは認定されたハードウェアへの保存が求められるようになった
秘密キーは認定されたハードウェアへの保存が求められるようになった

 コードサイニング証明書の新基準により、ファイル形式での証明書のやり取りや従来のコード署名プロセスの使用が禁止され、ソフトウェア開発チームへ大きな影響が出ている。特に、自動化技法CI/CDを行う開発チームにとって大きな問題となっていると指摘した。

次のページ
証明書新基準は、開発現場においてさまざまな影響を与えている

関連リンク

この記事は参考になりましたか?

  • X ポスト
  • このエントリーをはてなブックマークに追加
Developers Summit 2023 Summer セッションレポート連載記事一覧

もっと読む

この記事の著者

森 英信(モリ ヒデノブ)

就職情報誌やMac雑誌の編集業務、モバイルコンテンツ制作会社勤務を経て、2005年に編集プロダクション業務やWebシステム開発事業を展開する会社・アンジーを創業。編集プロダクション業務においては、IT・HR関連の事例取材に加え、英語での海外スタートアップ取材などを手がける。独自開発のAI文字起こし・...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

CodeZine編集部(コードジンヘンシュウブ)

CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

丸毛 透(マルモ トオル)

インタビュー(人物)、ポートレート、商品撮影、料理写真をWeb雑誌中心に活動。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

提供:DigiCert Japan G.K.

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

  • X ポスト
  • このエントリーをはてなブックマークに追加
CodeZine(コードジン)
https://codezine.jp/article/detail/18196 2023/09/29 12:00

おすすめ

アクセスランキング

アクセスランキング

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング