IT製品導入に関する技術資料を多数掲載 ホワイトペーパーダウンロードセンター
  • @IT
  • ITmedia エンタープライズ
  • ITmedia マーケティング
  • TechTarget
  • キーマンズネット

デジサート・ジャパン合同会社

製品資料

デジサート・ジャパン合同会社

サプライチェーン攻撃を教訓にした、コード署名における10のベストプラクティス

2020年に米国で発生した、極めて大規模なマルウェア侵害により、従来のコード署名の安全神話はもろくも崩れ去った。このインシデントを教訓に、より高度な署名運用を実現するための10のベストプラクティスを紹介する。

コンテンツ情報
公開日 2022/01/25 フォーマット PDF 種類

製品資料

ページ数・視聴時間 9ページ ファイルサイズ 2.19MB
要約
 2020年12月、米国は政府の複数のコンピュータネットワークにハッカーが侵入し、数カ月にわたって機密データが流出し続けていたことを公表した。極めて大規模なマルウェア侵入の原因となったのは、ある民間企業が開発・販売したIT管理プログラムだった。

 この製品は正規の署名付きでリリースされたものの、開発段階ですでに悪意のコードが埋め込まれており、CI/CDビルドの一部となって時限爆弾のように隠されていたという。こうした事態を招いた理由としては、多くの人がコード署名の安全神話を過信し、開発の最終段階でのみ行っていた点が挙げられるだろう。

 本コンテンツでは、米国で発生した大規模な開発サプライチェーンへの攻撃が、コード署名の在り方を再考する契機となったと指摘するとともに、署名ポリシーや手順の管理までを含めた10のベストプラクティスを解説する。併せて、CI/CDプロセスの各段階で継続的署名を実行するソリューションも紹介しているので、参考にしてほしい。