IT製品導入に関する技術資料を多数掲載 ホワイトペーパーダウンロードセンター
サプライチェーン攻撃を教訓にした、コード署名における10のベストプラクティス
コンテンツ情報
| 公開日 | 2022/01/25 | フォーマット | 種類 | 製品資料 |
|
|---|---|---|---|---|---|
| ページ数・視聴時間 | 9ページ | ファイルサイズ | 2.19MB | ||
要約
2020年12月、米国は政府の複数のコンピュータネットワークにハッカーが侵入し、数カ月にわたって機密データが流出し続けていたことを公表した。極めて大規模なマルウェア侵入の原因となったのは、ある民間企業が開発・販売したIT管理プログラムだった。
この製品は正規の署名付きでリリースされたものの、開発段階ですでに悪意のコードが埋め込まれており、CI/CDビルドの一部となって時限爆弾のように隠されていたという。こうした事態を招いた理由としては、多くの人がコード署名の安全神話を過信し、開発の最終段階でのみ行っていた点が挙げられるだろう。
本コンテンツでは、米国で発生した大規模な開発サプライチェーンへの攻撃が、コード署名の在り方を再考する契機となったと指摘するとともに、署名ポリシーや手順の管理までを含めた10のベストプラクティスを解説する。併せて、CI/CDプロセスの各段階で継続的署名を実行するソリューションも紹介しているので、参考にしてほしい。
この製品は正規の署名付きでリリースされたものの、開発段階ですでに悪意のコードが埋め込まれており、CI/CDビルドの一部となって時限爆弾のように隠されていたという。こうした事態を招いた理由としては、多くの人がコード署名の安全神話を過信し、開発の最終段階でのみ行っていた点が挙げられるだろう。
本コンテンツでは、米国で発生した大規模な開発サプライチェーンへの攻撃が、コード署名の在り方を再考する契機となったと指摘するとともに、署名ポリシーや手順の管理までを含めた10のベストプラクティスを解説する。併せて、CI/CDプロセスの各段階で継続的署名を実行するソリューションも紹介しているので、参考にしてほしい。