多くのソフトウェアチームは、一見すると単純な問いに答えることに苦労しています。それは「自分たちのソフトウェアの中身は実際に何か？」という問いです。

しかも、概要レベルではなく、リスクが存在するレベルでの把握が求められます。

現代のソフトウェアは常に変化しています。時間が経つにつれて可視性は失われていきます。それでもチームはリリースを続け、トラストは検証されたものから、いつの間にか「前提」として扱われるものへと静かに移行していきます。

その前提こそが、ソフトウェアセキュリティの問題が生まれやすい場所です。

SolarWinds：可視性が崩れた実例

SolarWindsは、しばしばコード署名の失敗例として語られます。しかし、この解釈はより重要な教訓を見落としています。

Orionプラットフォームを侵害した悪意のあるコードは、ソフトウェアが署名されるはるか以前にビルドプロセスへ侵入していました。一度ビルドの一部となると、他のコンポーネントと同様にパイプラインを通過し、コンパイル、パッケージ化され、最終的には大規模に顧客へ配布されました。最終成果物には、異常を示すものは何もありませんでした。

コード署名は、本来の役割を果たしていました。発行元のIDを検証し、リリース後のソフトウェアの完全性を保護したのです。問題が起きたのはその前段階で、ビルドの中身が十分に理解・検証されないままトラストが適用された点にありました。

この違いは重要です。署名されたソフトウェアには、暗黙のトラストが伴います。上流ですでに悪意のあるコードや脆弱なコードが組み込まれていると、そのトラストは本来あるべき範囲を超えて拡張されてしまいます。SolarWindsのケースでは、侵害されたソフトウェアが、問題が発覚するはるか前に、重要インフラや政府機関を含む数千の組織へ静かに入り込んでいました。

この攻撃がこれほどまでに効果的だった理由は、高度さだけではありません。可視性の欠如です。悪意のあるコードは正規のコンポーネントに溶け込み、ビルドプロセスを通過し、リリースの一部であるという理由だけでトラストを継承しました。問題が表面化した時には、ソフトウェアはすでに顧客環境に展開・インストールされ、稼働していたのです。

SolarWindsが新たなリスクを生み出したわけではありません。ソフトウェアビルドに何が入るのかを明確かつ強制力をもって把握できていない場合に、何が起きるのかを露呈させたのです。一度その可視性が失われると、セキュリティチームは、トラストがすでに下流へ拡張された後で、事後対応を迫られます。

可視性はリスクの捉え方を変える

ソフトウェアビルドに何が含まれているかを明確に把握できていると、リスクに関する議論は本質的に変わります。

リスクは抽象的なものではなくなります。脆弱性は単なるスキャンレポートの項目ではなく、特定のコンポーネント、利用経路、露出レベルと結び付けて理解されます。この文脈があることで、何に本当に対応すべきか、代替的な制御や対応時期で十分なものは何かを判断しやすくなります。

可視性は説明責任ももたらします。コンポーネントの出所、どのようにビルドへ取り込まれたのか、誰が使用を承認したのかを追跡できます。このトレーサビリティは、前提ではなく事実に基づいた意思決定を可能にし、セキュリティをボトルネックにすることなくガバナンスを強化します。

さらに重要なのは、可視性が防御可能なトラストを支える点です。顧客、パートナー、規制当局からソフトウェアリスクについて問われた際、組織は意図ではなく証拠を示すことができます。リリースに何が含まれているのか、どのリスクが特定され、出荷前にどのように対処されたのかを説明できるのです。

この変化は重要です。トラストはもはや暗黙のものではありません。購入者は透明性を、規制当局は文書化を、セキュリティチームは死角の少なさを求めています。

可視性は、開発スピードを大きく落とすことなく、これらの期待に応えるための手段を組織に提供します。

可視性を運用に組み込む

多くの組織にとっての課題は、可視性の重要性を理解することではありません。それをチーム、ビルド、パイプライン全体で一貫性をもって、かつ強制力のある形で実装することです。

そこで役立つのが、DigiCert Software Trust Managerのようなプラットフォームです。可視性、脆弱性スキャン、署名を分断された工程として扱うのではなく、Software Trust Managerはそれらを単一の統制されたワークフローに統合します。チームはビルドに入る要素を把握し、トラストを適用する前にリスクを評価し、その文脈を署名とリリースまで一貫して引き継ぐことができます。

ここで重要なのが集中管理です。可視性が署名を制御する同じシステム内にあることで、組織は文書や善意に頼るのではなく、ポリシーを強制できます。誰が署名できるのか、何に署名できるのか、いつトラストを適用するのかといった判断は、下流の前提ではなく、ビルドそのものから得られる証拠に基づいて行われます。

Software Trust ManagerはCI/CDパイプラインに直接統合できるよう設計されており、これらの制御を開発が実際に行われている場所で機能させます。目的は、可視性を事後対応の追加作業ではなく、ワークフローの一部にすることです。

デジサートとともに、スケールするトラストを実現

ソフトウェアがより速く、より広範に展開され続ける中で、可視性はトラストの前提条件であり続けます。その可視性を運用として実装できるかどうかが、組織が意図的に、かつ大規模にトラストを適用できるかを左右します。

お問い合わせいただき、DigiCert Software Trust Managerがどのように可視性、ガバナンス、そして大規模な署名を支援できるかをご確認ください。