コードサイニング 07-23-2021

ホワイトハウスのサイバーセキュリティ大統領令のビジョンを実行に移す

デジサート

ここ数週間、ランサムウェアの攻撃が話題になっており、サイバーセキュリティの必要性が改めてクローズアップされています。ランサムウェアによる攻撃で、東海岸を支える主要な燃料パイプラインが機能不全に陥った直後、ジョー・バイデン米国大統領は、国家のサイバーセキュリティを向上させることを目的とした大統領令(Executive Order:EO)に署名しました。

この新しいEOは、連邦政府の各省庁および連邦政府の請負業者を対象としていますが、その影響は重要なインフラ分野とそれを支えるテクノロジー企業に広く及ぶことが予想されます。実際、この命令は、企業が連邦政府に倣ってサイバーセキュリティへの投資を強化し、組織をよりよく保護することを奨励しています。

新しい命令のハイライトは、最新のサイバーセキュリティへの移行、ソフトウェアセキュリティの強化、新しいCybersecurity Safety Review Board(サイバーセキュリティ安全審査委員会)などがあります。それぞれの変更点の詳細と、ユーザーやデータの安全性を確保したいと考えている組織、つまりほとんどの人にとってどのような意味を持つのかをご紹介します。

より強固で最新のサイバーセキュリティを目指して

新しいEOの主要な柱は、より強力なサイバーセキュリティ標準の最新化と導入を求めています。その目的は、連邦政府がより安全なクラウドサービスとゼロトラスト・アーキテクチャに移行するのを支援することです。また、多要素認証の導入や、特定期間の暗号化も義務付けられています。

明らかに、暗号化はEOの一つの側面であり、PKIソリューションは必要とされる高いレベルの信頼性を確保するのに役立ちます。PKIは実績があり、柔軟性が高く、様々な業界やユースケースで広く採用されています。ウェブサイトだけでなく、ネットワーク、電子メール、デバイス、ドキュメント、さらには個々のユーザーのセキュリティ確保にも最適です。クラウド、オンプレミス、またはハイブリッド環境で暗号化や認証の証明書を発行・管理できるため、ITやセキュリティはPKIを安心して利用することができます。

PKIは、ゼロトラスト・アーキテクチャのサポートにも貢献できます。ゼロトラストとは、「Never Trust, Always Verify(決して信頼せず、常に検証する)」という言葉を基に、物理的な場所やネットワーク上の場所、あるいはデバイスの所有者だけで、デバイスやユーザーを自動的に信頼してはならないという考え方を中心にしたものです。医療用の点滴ポンプのようなIoTデバイスでも、リモートの従業員が社内ネットワークにログインする場合でも、すべての接続を検証する必要があります。

例えば、ヘルスケア環境では、介護者は、環境に接続しているすべてのIoTデバイスや、患者への対応に必要なオンラインサービスやアプリを信頼できるかどうかを確認する必要があります。PKIは、プロバイダーが適切で有効な証明書を持っていることを前提に、これらの重要なIoTデバイスのIDを確立するのに役立ちます。また、データが転送中であろうと、保存中であろうと、暗号化によって機密性の高いヘルスケアデータを保護することができます。PKIは、ゼロトラスト環境のすべての側面をカバーするものではありませんが、必要とされる認証と信頼のための強力な基盤を提供します。

ソフトウェアセキュリティの強化

新しいEOでは、ソフトウェアやサプライチェーン自体のセキュリティを向上させるための強力な方向性も示されました。これは、政府に販売するソフトウェアを開発する際の基本的なセキュリティ基準を定めたもので、ソフトウェアの可視性の向上や、セキュリティデータを公開するための要件が含まれています。これは、悪意ある者に悪用される可能性のある脆弱性を持ったまま出荷されているソフトウェアが多すぎる、ということを認識しているからです。

DevOps(開発担当者と運用担当者が連携して協力するソフトウェア開発手法)を推進する速いペースの組織において、ソフトウェアのセキュリティを確保することは、容易ではありません。ほとんどのワークフローは、デザインによるセキュリティではなく、継続的な開発を維持し、成果物を押し出すことを目的としています。幸いなことに、コードサイニングのようなベストプラクティスを適切に導入すれば、企業は開発プロセスの各段階にセキュリティを組み込むことができます。継続的インテグレーション/継続的デリバリー(CI/CD)パイプライン全体にデジタル署名付きコードとコンテナを適用することで、企業は開発をコントロールし、コードの整合性を確認してから、開発サイクルをさらに進めて本番環境や顧客に提供することができるようになります。

同様に重要なのは、秘密鍵が保護されていること、すべての署名行為において共有されていないこと、何度も再利用されていないこと、そしてオンプレミスまたはクラウドのHSM(Hardware Security Module)内に安全に保管されていることです。適切なPKI管理プラットフォームは、開発者が署名イベントの際には鍵にアクセスし、それ以外のときはオフラインで安全に保管し、セキュリティチームに詳細な監査証跡とレポートメカニズムを提供することができます。また、適切なプラットフォームには、コードが署名され出荷される前に、コンセンサスに基づく承認や、署名行為の異常を探すための監査など、プロセスの改善を組み込むことができます。DigiCert Secure Software Managerは、ポータブルで柔軟な展開モデル、継続的な署名、安全な鍵管理により、CI/CDパイプライン全体で自動化されたセキュリティを実現し、コード署名を管理する最新の方法です。

しかし、コードの完全性を追跡することが、より困難なオープンソース・ライブラリを使用している組織についてはどうでしょうか。コードのセキュリティを包括的に把握するためには、SWBOM(Software Bill of Materials:ソフトウェアの部品表)を確立することがますます重要になっています。バージョン番号、ソフトウェアのパッチやアップグレード、オープンソースの要素など、ソフトウェアアプリケーションを構成するすべてのコンポーネントを完全にリストアップすることで、開発者やメーカーは、今日のDevOpsやIoTの課題を満たすためにセキュリティを適用することができます。

SWBOMは、ソフトウェア開発プロセスだけでなく、製造業のサプライチェーン全体を強化することができます。現在、機器に組み込まれている多くのチップには、ソフトウェアが焼き付けられていますが、メーカーはそれがどこから来たのかわからないことがあります。機器や部品が、より高度になるにつれ、機器に組み込まれた無数のコードを追跡することは非常に困難になっています。新しいEOは、IoT分野の開発者やメーカーに、自分たちの機器に何が搭載されているかを、より深く理解することを促します。万が一、情報漏えいやソフトウェア問題が発生した場合、SWBOMは、問題のコードが顧客環境に展開されているかどうかを判断する能力を向上させ、修復戦略の第一歩を踏み出すことができます。これらのSWBOMファイルは、操作されたことを証明するためにデジタル署名されていることが理想的です。これで、SWBOMが信頼できるものになります。

サイバーセキュリティ安全審査会の設置

EOのもう一つの強力な提言は、民間企業と政府のリーダーで構成されるサイバーセキュリティ安全審査委員会の設立です。国家運輸安全委員会と同様に、このチームは大規模な事故が起きた後に集まり、何が起きたかを分析し、サイバーセキュリティを改善するための提言を行います。

この審査会は、連邦政府が業界のリーダーと協力して、前向きな変化をもたらすことができる優れた例です。多くの場合、個々の組織は、サイバーセキュリティインシデントを十分に調査することができません。学んだことを振り返ることなく、すぐに次のステップに進んでしまい、同じ失敗を繰り返してしまうことがあります。EOは、重大なインシデントの調査を強化するだけでなく、産業界が新たな脅威を理解し、それに迅速に対応して、その被害を最小限に抑えるために必要な情報共有を促進します。

アメリカ政府内で共通の合意形成をすることは簡単ではありませんが、サイバーセキュリティに関する新たなEOは、悪意のあるサイバー攻撃から人々、機器、サプライチェーン、ネットワークを保護することに関しては、多くの共通点があることを示しています。デジサートでは、お客様のデータと操作が信頼され、安全で安心であり続けるためのイノベーションを推進していきます。

UP NEXT

特集記事

ユーザーの受信トレイに貴社のロゴを表示する:VMC GMAIL PILOTから学べるヒント

10-27-2021

デジサートのPKIオートメーション調査から見えてきた3つのこと

証明書のピンニングはやめましょう