TOPセキュリティ > ソフトウエアサプライチェーンのセキュリティー強化につながるs...

セキュリティ

ソフトウエアサプライチェーンのセキュリティー強化につながるsigstoreとは(後)

2022/07/07

Chris Hughes CSO

 ソフトウエアサプライチェーンのセキュリティーに最近注目が集まっている。その契機となったのは、IT管理ソフトウエアを手がける米SolarWindsへの攻撃や、オープンソースライブラリLog4jの脆弱性だ。サードパーティー製ソフトウエアの完全性を保証するにはどうすればよいか、企業のセキュリティーチームが手段を探し求めるようになった。

前回から続く)

Credit: kristina flour; modified by IDG Comm.
Credit: kristina flour; modified by IDG Comm.

 一般に電子署名の鍵管理は厄介で、クラウドサービス事業者やサードパーティーがマネージドサービスとして提供しているケースも多いが、sigstoreは鍵管理の複雑さをある程度緩和するキーレス署名の仕組みを取り入れている。有効期限が非常に短い一時的な鍵を署名に利用しながらも、タイムスタンプの記録に基づいて署名の有効性を証明できる仕組みで、その実現にFulcioやCosign、Rekorを利用している。

 Fulcioはコード署名に特化したルートCA(認証局)。OpenID Connect(OIDC)のIDと紐づけた証明書を発行し、多くの場合は開発者が既に所有する既存のIDを使用する。

 Cosignは鍵ペアの生成や、コンテナイメージなどのアーティファクトへの署名、コンテナレジストリへの保存をシームレスにサポートする。クラウドネイティブ環境では公開鍵を使ってコンテナの署名を検証し、出どころが信頼できるかどうかを確認できる。コンテナイメージを作成する際に電子署名を行い、使用の前に署名を検証するという手法は、Cloud Native Computing Foundation(CNCF)の「Cloud Native Security Whitepaper」でも重要なベストプラクティスの1つとして取り上げている。

 Rekorはソフトウエアの開発や修正の中で証明書や署名のデータを改ざん不可能な台帳に記録する機能を実現する。開発者側にとっては、透明性ログを通じてソフトウエアの来歴を明確にできる。利用者はこのログに記録されたメタデータに基づいてソフトウエアのライフサイクルの正当性を判断できる。

↑ページ先頭へ