SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

Developers Summit 2023 Summer セッションレポート(AD)

ソフトウェア署名をクラウドで実現し、CI/CDパイプラインをセキュアに構築する方法とは?

【D-3】セキュアに構築するCI/CDパイプラインの最前線!~事例でみるソフトウェア署名をクラウドで実現する方法~

  • X ポスト
  • このエントリーをはてなブックマークに追加

コード署名を盛り込んだCI/CDパイプラインを再構築しコストを削減した事例

 中村氏は、このような課題解消のためには署名管理ツールが有効であるとし、デジサートのソリューションを説明した。署名管理ツールでは、開発者チームは既存のビルドプロセスを変えずに、安全かつ高速なリモートのコード署名をビルドプロセスに組み込める。誰がいつどのモジュールに署名したかを追跡可能となるため、従来の課題を解決できる。

 「DigiCert ONE」は、コード署名の「Software Trust Manager」ほか複数の管理アプリケーションを配置し、シングルサインオン環境で管理アプリケーションを自由に行き来しセキュリティを実現するプラットフォーム。コンテナベースで常に新しい機能を提供し、またクラウド/オンプレミスどちらにも展開可能となっている。アプリケーション開発者は必要に応じたセキュリティ機能を随時適用できるメリットがある。

 Software Trust Managerでは、一般的な開発からデリバリーまでのプロセスの環境に影響を与えず、デジサートのコード署名サービス基盤と連携する。ハードウェアトークンなどの要件はこのサービス基盤が満たすため、ユーザーは秘密キーの管理を意識することなく開発に集中できる。インターネットに接続できる環境は必要であるものの、現在の開発環境では問題がないだろう。

既存の環境に影響を与えずコンプライアンス強化ができるSoftware Trust Manager
既存の環境に影響を与えずコンプライアンス強化ができるSoftware Trust Manager

 中村氏は、このソリューションを活用してCI/CDパイプラインを見直し開発の効率化を果たしている会社事例を紹介した。最初の段階では、MicrosoftのSigntoolを使用し、GitHub社が提供するElectronというビルドツールを活用し、USBトークンレスコードサイニングを実現した。次の段階では、GitHub ActionsというクラウドCI/CDサービスとデジサートのコード署名サービス基盤を接続してビルドパイプラインを新しくした。GitHub Actionsではビルドにかかる時間に対して課金されるため、時間のかかる処理を外部に出すことで、コスト削減も実現した。

 このようなクラウドCI/CDツールとの統合によるビルドでは、サーバレスビルド環境を利用することでビルドサーバーの維持費などのコスト削減にもつながるという。同社のサービスに対する顧客の声について中村氏は「今までできなかった自動化ができたので、人件費の削減などビルド運用の効率化に評価をいただいております」と述べた。

 Software Trust Managerは、有名なCI/CDプラットフォームなどさまざまなエンタープライズシステムと統合可能だ。中村氏は、そのなかでもReversingLabs社のシステム「Threat Detection」を使ったアプリケーションの脆弱性テストの提供について説明した。これはソフトウェアのバイナリをスキャンして、その結果としてSBOMとリスク分析レポートを出力する。リスクがなければ、先に説明した大統領令の規制要件に対応できる。

 ビルドやテストを行っているチームは、動作テストには注意を払うが、マルウェアに関するテストを行っていない場合も多い。デジサートでは、コードが書き換えられたかをチェックする機能「Reproducible Builds(再現可能なビルド)」や期待するリリース成果物との不一致をキャプチャすることで、マルウェア混入のリスクを低減する機能「Deterministic Compilation(決定論的コンパイル)」なども提供している。

 攻撃対象となっているのはなりすましのみではないため、署名キーの保護だけでは不十分で、ソフトウェア開発工程内にも対策が必要である。それに対しての厳格なキー管理では不十分で、コードスキャンも必要である。CI/CD環境など、人間の手を介さない自動化された開発環境が進んでいる今、その環境が壊れてしまうという問題は喫緊の課題となる。中村氏は最後に「デジサートならこれらの課題全て解決できます。ぜひご相談ください」と呼びかけた。

 詳細および問い合わせはこちらよりご確認ください。

関連リンク

この記事は参考になりましたか?

  • X ポスト
  • このエントリーをはてなブックマークに追加
Developers Summit 2023 Summer セッションレポート連載記事一覧

もっと読む

この記事の著者

森 英信(モリ ヒデノブ)

就職情報誌やMac雑誌の編集業務、モバイルコンテンツ制作会社勤務を経て、2005年に編集プロダクション業務やWebシステム開発事業を展開する会社・アンジーを創業。編集プロダクション業務においては、IT・HR関連の事例取材に加え、英語での海外スタートアップ取材などを手がける。独自開発のAI文字起こし・...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

CodeZine編集部(コードジンヘンシュウブ)

CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

丸毛 透(マルモ トオル)

インタビュー(人物)、ポートレート、商品撮影、料理写真をWeb雑誌中心に活動。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

提供:DigiCert Japan G.K.

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

  • X ポスト
  • このエントリーをはてなブックマークに追加
CodeZine(コードジン)
https://codezine.jp/article/detail/18196 2023/09/29 12:00

おすすめ

アクセスランキング

アクセスランキング

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング