CA/B フォーラムのコードサイニング秘密鍵に関する変更に準拠するための、アクセスが容易で便利かつ安価な方法。

すべてのコードサイニング秘密鍵を FIPS 140-2 準拠のハードウェアに保管することを求める（2023年6 月 1 日から施行） CA/ブラウザ（CA/B）フォーラムの新しい要件を満たせるよう企業が取り組んでいく中、デジサートは、これらのコンプライアンス要件に対応する DigiCert KeyLocker という新機能を発表しました。

この業界要件の施行に「ようやく感」がある理由

ソフトウェア開発者がコードサイニング秘密鍵を安全でない場所に保管したために発生したインシデントは、ここ数十年で枚挙にいとまがありません。有名なのは、台湾のコンピュータメーカー、 Asus 社の事例です。当社では、コードサイニング秘密鍵を Web サーバー上に保存していました。ハッカーはこの Web サーバーに侵入し、コードサイニングクレデンシャルを見つけた後、正式な Asus ドライバアップデートにマルウェアを追加しました。ハッカーがそれらを署名すると、数時間後には感染したアップデートがそのことを知らない何千人もの顧客にばらまかれてしまいました。

被害の事例は Asus 社にとどまりません。Nvidia 社と GitHub の事例も有名です。最近では、Intel 製の秘密鍵をめぐる MSI 社のインシデントがありました。また、ダークウェブには、盗まれたコードサイニングクレデンシャル付きのマルウェアキットが販売されており、容易に入手できます。

安全でない場所に保管してしまう理由

開発者は習慣と利便性を重視します。開発者はまた、新しい製品機能をより迅速に開発するよう市場の圧力にさらされています。そして、DevOps、継続的インテグレーションおよび継続的デプロイ（CI/CD）、クラウドネイティブインフラストラクチャなどのプロセスやツールを活用しており、これらは自動化に強く依存しています。さらに、開発者が主眼に置くのはセキュリティではありません。これらの要因が相まって、しばしば簡易的な処置がなされます。つまり、コードサイニング秘密鍵が、便利であるが安全でない場所に保管されてしまいます。

その結果、これらの鍵がアプリケーションの構築に使われる（オンプレミスまたはクラウド上の）サーバーに保管されてしまう可能性があります。または、ノート PC 上に保管される場合があります。あるいは、Asus 社の事例のように、顧客に最終アップデートをプッシュするために使われる Web サーバー上である場合もあります。

これらの侵害タイプに対応するための CA/B フォーラムの新しい要件

CA/B フォーラムのコードサイニングワーキンググループは、コードサイニングに使用される秘密鍵に関する要件を強化することを投票して承認しました。1 年間を通じて、コードサイニングワーキンググループの参加者は、「CSC-13：加入者鍵保護要件のアップデート」の詳細を議論してきました。これは、セキュリティのハードルを上げながらも、新しい要件がもたらす負担を見極めるためです。これらの変更は現在有効です。

詳細については、こちらをご覧ください。

新しい要件に準拠する方法

大きな企業であるならば、すでにハードウェアセキュリティモジュール（HSM）を使用して秘密鍵を安全に保管したり、DigiCert^® Software Trust Manager などの安全なコードサイニングソリューションを使用したりしていることでしょう。DigiCert Software Trust Manager は FIPS 140-2 に準拠した方法で鍵を安全に保護するだけでなく、企業がアクセスポリシーを確立できるようにします。これにより、DevOps などの高度に自動化されたプロセスにおいても鍵の使用に関してさらなる保護を提供します。

物理的なハードウェアトークン（デジサートが販売するものなど）もオプションとして採用できます。しかし、ハードウェアトークンを使用する欠点として、DevOps などの完全に自動化されたビルドおよびサイニングプロセスでは使用が困難であることが挙げられます。

この新しい CA/B 要件は、オンプレミス HSM を持たない、あるいは DigiCert Software Trust Manager などの安全なエンタープライズコードサイニングソリューションを使わない小規模なソフトウェア開発チームにとって手ごわい課題となるかもしれません。こうした顧客を念頭に置いて、DigiCert KeyLocker の提供を開始しました。これは、DigiCert CertCentral からコードサイニング証明書を購入した顧客に提供されるオプションです。

HSM や安全なコードサイニングソリューションを持っていない方でも、DigiCert CertCentral からコードサイニング証明書を購入すれば、CA/B フォーラムの新しい要件に準拠したオプションを持つことになります。このソリューションは DigiCert KeyLocker と呼ばれるものです。

DigiCert KeyLocker

DigiCert KeyLocker は、OV （Organization Validated、企業認証）および EV （Extended Validation、EV 認証）コードサイニング秘密鍵の強力な鍵保護を、CA/B フォーラムの要件を満たしたクラウド提供サービスで実現します。KeyLocker は物理的なトークンが課す制約なしで、安全な鍵保管、鍵生成、および署名を可能にします。

ハードウェアトークンとは異なり、KeyLocker は配送不要です。また、物理デバイスの注文と配送に付随する遅れや不便を経験する必要がありません。トークンのように、紛失または盗難にあうリスクはありません。署名はいつでもどこでも行え、自動化された CI/CD パイプラインに簡単に統合できます。

KeyLocker はコードサイニング証明書と一緒に DigiCert CertCentral で購入できます。強力な鍵保護を備えたクラウド提供サイニングの取得、設定、使用は簡単です。KeyLocker は、CA/B フォーラムのコードサイニング鍵の要件に準拠するためのシームレスな方法を IT 管理者と開発者に提供します。

大規模で分散されたソフトウェアチームを擁する企業や、ミッション/セーフティ/ビジネスクリティカルソフトウェアを開発する企業にとって、KeyLocker などが提供する安全な秘密鍵ストレージは、ソフトウェアサプライチェーンセキュリティを実現するための一歩となりますが、それだけではコードサイニングのあらゆる推奨セキュリティ措置をサポートするには至りません。たとえば、コード署名ポリシーの施行、一元化されたエンタープライズ管理、鍵へのロールベースのアクセス、鍵のローテーション、きめ細かなセキュリティおよびアクセス制御、およびコード署名活動の検証可能な記録は DigiCert Software Trust Manager で提供されています。

DigiCert KeyLocker の詳細については、データシートをダウンロードしてください。