TOPセキュリティ > ソフトウエアサプライチェーンのセキュリティー強化につながるs...

セキュリティ

ソフトウエアサプライチェーンのセキュリティー強化につながるsigstoreとは(前)

2022/07/05

Chris Hughes CSO

 ソフトウエアサプライチェーンのセキュリティーに最近注目が集まっている。その契機となったのは、IT管理ソフトウエアを手がける米SolarWindsへの攻撃や、オープンソースライブラリLog4jの脆弱性だ。サードパーティー製ソフトウエアの完全性を保証するにはどうすればよいか、企業のセキュリティーチームが手段を探し求めるようになった。

Credit: StockSnap
Credit: StockSnap

 今やソフトウエアは至るところで利用されている。世界経済フォーラムによると、世界のGDPの60%はデジタル技術が生み出している。こうしてソフトウエアが世界に変化をもたらす一方で、エコシステムの中で取り入れるさまざまなソフトウエアの完全性を確保する手段は十分ではない。ソフトウエアサプライチェーンでは電子署名を利用していないことが多い。また利用していたとしても、昔ながらの電子署名の手法を用いていることが多く、自動化や監査への対応に難がある。

sigstoreとは

 こうした問題への対処を目指しているオープンソースプロジェクトが「sigstore」だ。米Chainguardの創業者でsigstoreの開発者の1人であるDan Lorenc氏は次のように説明している。「sigstoreはソフトウエア開発者のためのフリーの署名サービスだ。透明性ログ技術を基盤とした暗号署名を利用して、ソフトウエア署名を簡単に導入でき、ソフトウエアサプライチェーンのセキュリティーを強化できる」

↑ページ先頭へ