CI/CD サービスによるクラウド コード署名の自動化 オンラインセミナー
継続的インテグレーション/継続的デリバリー(CI/CD)で安全なソフトウェア開発 ソフトウェアのサプライチェーン攻撃対策としても有効
2022.11.18 11:00
DigiCert(デジサート)(本社:アメリカ・ユタ州)の日本の正規代理店としてデジタル証明書ソリューションを提供する 株式会社サイバービジョンホスティング(以下 CVH、本社: 神奈川県横浜市、代表取締役:古木 一行)は、USBトークンを必要としないコード署名や継続的インテグレーション/継続的デリバリー(CI/CD)を実現するための方法に関して無料ウェビナーを開催いたします。
コードサイニング(コード署名)とは
コードサイニング(コード署名)とは、ソフトウェアやコードのバイナリまたはファイルにデジタル署名を付与するプロセスのことをいいます。
このデジタル署名により、ソフトウェアの作成者または発行者の実在性が検証され、ファイルが署名後に変更または改ざんされていないことが保証されます。
コードサイニングは、ソフトウェアの利用者にそのコードが信頼できるものである(改ざんされていない)ということをわかりやすく伝え、悪意をもってシステムやデータを危殆化しようとする企てに対抗する上で、極めて重要な役割を果たします。
その対象は、社内外で使用するソフトウェア、パッチや修正プログラム、Java、IoT デバイスの製品開発、コンピューティング環境、モバイルアプリなど広範に及びます。
このデジタル署名により、ソフトウェアの作成者または発行者の実在性が検証され、ファイルが署名後に変更または改ざんされていないことが保証されます。
コードサイニングは、ソフトウェアの利用者にそのコードが信頼できるものである(改ざんされていない)ということをわかりやすく伝え、悪意をもってシステムやデータを危殆化しようとする企てに対抗する上で、極めて重要な役割を果たします。
その対象は、社内外で使用するソフトウェア、パッチや修正プログラム、Java、IoT デバイスの製品開発、コンピューティング環境、モバイルアプリなど広範に及びます。
コードサイニング証明書の仕様変更による課題と解決法
SSL/TLS証明書などを含むパブリック電子証明書の業界団体であるCA/Bフォーラムによって決定された、ソフトウェアやコードに署名するコードサイニング証明書の変更によって、
これまでEVコードサイニング証明書のみに義務づけられていた秘密鍵の厳格な管理が、2023年6月1日(UTC)以降、OV(企業認証)を含むすべてのコードサイニング証明書にも義務付けられます。
トークンやHSMのようなハードウェアが必要となり、開発現場ではUSBトークンを物理的に用意しないと署名ができなくなるケースが発生し作業が繁雑になってしまうなど、鍵管理プロセスの変更やコスト的な負担が多くなるケースも予想されます。
また、こうした悩みは、これまでEVコードサイニング証明書においても課題となっています。
DigiCertが提供する Secure Software Manager を利用することにより、クラウド環境で証明書発行や署名ができるようになり、ビルド時にUSBトークンを手元に用意する制限を解消できるだけでなく、USBトークンの紛失リスクにも効果を発揮し、リモート環境での開発の効率化、開発スピードUPにも大きな効果があります。
これまでEVコードサイニング証明書のみに義務づけられていた秘密鍵の厳格な管理が、2023年6月1日(UTC)以降、OV(企業認証)を含むすべてのコードサイニング証明書にも義務付けられます。
トークンやHSMのようなハードウェアが必要となり、開発現場ではUSBトークンを物理的に用意しないと署名ができなくなるケースが発生し作業が繁雑になってしまうなど、鍵管理プロセスの変更やコスト的な負担が多くなるケースも予想されます。
また、こうした悩みは、これまでEVコードサイニング証明書においても課題となっています。
DigiCertが提供する Secure Software Manager を利用することにより、クラウド環境で証明書発行や署名ができるようになり、ビルド時にUSBトークンを手元に用意する制限を解消できるだけでなく、USBトークンの紛失リスクにも効果を発揮し、リモート環境での開発の効率化、開発スピードUPにも大きな効果があります。
ソフトウェアのサプライチェーン攻撃対策としても有効
近年、ソフトウェアのサプライチェーンを悪用したサイバー攻撃が発生しています。
2020年には、SolarWinds社のOrionがサプライチェーン攻撃を受け、少なくとも1万8千の組織に侵入、重要な情報が盗まれました。
また2022年には、コードサイニング証明書を悪用する攻撃としてNVIDIAがハッキングを受け、大量のデータが盗まれました。
この一連の攻撃プロセスには、盗まれたコードサイニング証明書が使用されており、サイバー攻撃者はこれを悪用してNVIDIAのドライバーになりすましてマルウェアを拡散させています。
同様の手口は、2016年のSuckflyでも使われており、安全なソフトウェアを装って攻撃を行うのです。
DigiCertの Secure Software Manager は、アプリケーションの開発・管理をより安全にします。
いつ、誰が、何にコード署名をしたかを確認できるため、マルウェアの混入を防ぎ、ソフトウェアサプライチェーンを保護することができます。
また、署名作業ごとに秘密鍵を変えることができるので、同じ署名者の署名であっても任意のコードだけ失効させることも可能です。
過去に購入したコードサイニング証明書を取り込んで管理することもできますので、過去の証明書も含めて統合管理が実現できます。
コード署名ワークフローの自動化も可能なため、全社的なセキュリティと管理性が確保されます。
2020年には、SolarWinds社のOrionがサプライチェーン攻撃を受け、少なくとも1万8千の組織に侵入、重要な情報が盗まれました。
また2022年には、コードサイニング証明書を悪用する攻撃としてNVIDIAがハッキングを受け、大量のデータが盗まれました。
この一連の攻撃プロセスには、盗まれたコードサイニング証明書が使用されており、サイバー攻撃者はこれを悪用してNVIDIAのドライバーになりすましてマルウェアを拡散させています。
同様の手口は、2016年のSuckflyでも使われており、安全なソフトウェアを装って攻撃を行うのです。
DigiCertの Secure Software Manager は、アプリケーションの開発・管理をより安全にします。
いつ、誰が、何にコード署名をしたかを確認できるため、マルウェアの混入を防ぎ、ソフトウェアサプライチェーンを保護することができます。
また、署名作業ごとに秘密鍵を変えることができるので、同じ署名者の署名であっても任意のコードだけ失効させることも可能です。
過去に購入したコードサイニング証明書を取り込んで管理することもできますので、過去の証明書も含めて統合管理が実現できます。
コード署名ワークフローの自動化も可能なため、全社的なセキュリティと管理性が確保されます。
無料ウェビナー:トークンが必要になるコードサイニング証明書 課題と解決に向けて
USBトークンを必要としないコード署名や継続的インテグレーション/継続的デリバリー(CI/CD)を実現するための方法に関して無料ウェビナーを開催いたします。
今後のコードサイニング証明書の要件変更に触れたうえで、変更に伴う課題について検討します。
また、クラウド環境で管理・署名が可能なSecure Software Managerをご紹介し、USBトークンを必要としないコード署名や継続的インテグレーション/継続的デリバリー(CI/CD)を簡単に実現するための方法について解説します。
2022年11月、12月に複数日で開催いたしますので、以下お問い合わせフォームまたは info@brandkeeper.jp へ「ウェビナー参加」のお申込みをお願いいたします。
是非お気軽にご参加ください。
今後のコードサイニング証明書の要件変更に触れたうえで、変更に伴う課題について検討します。
また、クラウド環境で管理・署名が可能なSecure Software Managerをご紹介し、USBトークンを必要としないコード署名や継続的インテグレーション/継続的デリバリー(CI/CD)を簡単に実現するための方法について解説します。
2022年11月、12月に複数日で開催いたしますので、以下お問い合わせフォームまたは info@brandkeeper.jp へ「ウェビナー参加」のお申込みをお願いいたします。
是非お気軽にご参加ください。
───────────────────────────────────
■サービスサイト: https://rms.ne.jp 及び https://brandkeeper.jp/
■会社概要
社名 : 株式会社サイバービジョンホスティング
所在地 : 神奈川県横浜市港北区新横浜2-15-12 共立新横浜ビル5階
設立 : 2009年07月
代表 : 代表取締役 古木 一行
事業者番号: 一般第二種電気通信事業者 総務省届出番号 A-21-10690
■本件に関するお問合せ先:
リスクマネジメントソリューション(RMS)事業部
TEL :045-548-4656
E-MAIL:info@rms.ne.jp, info@brandkeeper.jp
───────────────────────────────────
■サービスサイト: https://rms.ne.jp 及び https://brandkeeper.jp/
■会社概要
社名 : 株式会社サイバービジョンホスティング
所在地 : 神奈川県横浜市港北区新横浜2-15-12 共立新横浜ビル5階
設立 : 2009年07月
代表 : 代表取締役 古木 一行
事業者番号: 一般第二種電気通信事業者 総務省届出番号 A-21-10690
■本件に関するお問合せ先:
リスクマネジメントソリューション(RMS)事業部
TEL :045-548-4656
E-MAIL:info@rms.ne.jp, info@brandkeeper.jp
───────────────────────────────────
この企業のプレスリリース MORE
DMARC導入だけでは不十分?プロが教える!DMARC引き上げのコツとBIMIの効果 2024/11/15開催
2024.11.01 17:20
情報漏洩対策ソリューション「スクリーンウォーターマーク」の提供開始のお知らせ
2024.10.31 11:00
メール認証の最前線 プロから学ぶDMARCとBIMIの全貌 2024/9/26開催
2024.09.12 12:30