CRAで求められる“完全性”、ソフトウェア署名用の秘密鍵をどう管理する？

　欧州で施行が進むサイバーレジリエンス法（CRA）を背景に、ソフトウェアの完全性と信頼性をどのようにして担保するかが、多くの企業で課題となっている。特に、OTAによるアップデートや継続的な機能追加が前提となる現代の製品開発では、ソフトウェア署名を支える秘密鍵の管理体制が、製品価値を左右するといっても過言ではない。

　しかし、秘密鍵をサーバやソフトウェアのみで管理しているケースでは、漏えいや不正利用のリスク、運用の属人化といった問題が発生してしまう。CRAで求められる要件に対応するには、認証済み暗号モジュールを用いた鍵生成から、HSMによる改ざん耐性の高い保管、アクセス制御と操作ログを用いた安全な利用、完全消去と記録による安全な廃棄まで、秘密鍵を守るための包括的なライフサイクルが必要となる。

　本資料では、規制要件と実運用のギャップを埋める手段として注目したい、ソフトウェア署名秘密鍵管理ソリューションを取り上げ、その機能や特長を解説する。導入規模に応じたパッケージ構成やオプション機能も詳しく整理されているので、ぜひ参考にしてほしい。