コード署名を盛り込んだCI/CDパイプラインを再構築しコストを削減した事例
中村氏は、このような課題解消のためには署名管理ツールが有効であるとし、デジサートのソリューションを説明した。署名管理ツールでは、開発者チームは既存のビルドプロセスを変えずに、安全かつ高速なリモートのコード署名をビルドプロセスに組み込める。誰がいつどのモジュールに署名したかを追跡可能となるため、従来の課題を解決できる。
「DigiCert ONE」は、コード署名の「Software Trust Manager」ほか複数の管理アプリケーションを配置し、シングルサインオン環境で管理アプリケーションを自由に行き来しセキュリティを実現するプラットフォーム。コンテナベースで常に新しい機能を提供し、またクラウド/オンプレミスどちらにも展開可能となっている。アプリケーション開発者は必要に応じたセキュリティ機能を随時適用できるメリットがある。
Software Trust Managerでは、一般的な開発からデリバリーまでのプロセスの環境に影響を与えず、デジサートのコード署名サービス基盤と連携する。ハードウェアトークンなどの要件はこのサービス基盤が満たすため、ユーザーは秘密キーの管理を意識することなく開発に集中できる。インターネットに接続できる環境は必要であるものの、現在の開発環境では問題がないだろう。
中村氏は、このソリューションを活用してCI/CDパイプラインを見直し開発の効率化を果たしている会社事例を紹介した。最初の段階では、MicrosoftのSigntoolを使用し、GitHub社が提供するElectronというビルドツールを活用し、USBトークンレスコードサイニングを実現した。次の段階では、GitHub ActionsというクラウドCI/CDサービスとデジサートのコード署名サービス基盤を接続してビルドパイプラインを新しくした。GitHub Actionsではビルドにかかる時間に対して課金されるため、時間のかかる処理を外部に出すことで、コスト削減も実現した。
このようなクラウドCI/CDツールとの統合によるビルドでは、サーバレスビルド環境を利用することでビルドサーバーの維持費などのコスト削減にもつながるという。同社のサービスに対する顧客の声について中村氏は「今までできなかった自動化ができたので、人件費の削減などビルド運用の効率化に評価をいただいております」と述べた。
Software Trust Managerは、有名なCI/CDプラットフォームなどさまざまなエンタープライズシステムと統合可能だ。中村氏は、そのなかでもReversingLabs社のシステム「Threat Detection」を使ったアプリケーションの脆弱性テストの提供について説明した。これはソフトウェアのバイナリをスキャンして、その結果としてSBOMとリスク分析レポートを出力する。リスクがなければ、先に説明した大統領令の規制要件に対応できる。
ビルドやテストを行っているチームは、動作テストには注意を払うが、マルウェアに関するテストを行っていない場合も多い。デジサートでは、コードが書き換えられたかをチェックする機能「Reproducible Builds(再現可能なビルド)」や期待するリリース成果物との不一致をキャプチャすることで、マルウェア混入のリスクを低減する機能「Deterministic Compilation(決定論的コンパイル)」なども提供している。
攻撃対象となっているのはなりすましのみではないため、署名キーの保護だけでは不十分で、ソフトウェア開発工程内にも対策が必要である。それに対しての厳格なキー管理では不十分で、コードスキャンも必要である。CI/CD環境など、人間の手を介さない自動化された開発環境が進んでいる今、その環境が壊れてしまうという問題は喫緊の課題となる。中村氏は最後に「デジサートならこれらの課題全て解決できます。ぜひご相談ください」と呼びかけた。
詳細および問い合わせはこちらよりご確認ください。
