戻る
ネットワーク接続される機器の保護、更新、監視、制御を大規模に実現
- デジタルトラスト製品/サービス一覧:
- エンタープライズ IT、PKI、ID
- ウェブサイト&サーバー
- コード&ソフトウェア
- 文書&署名
- IoT&コネクテッドデバイス
PKIと証明書のリスクを一元管理
PKIと証明書のリスクを一元管理
証明書ライフサイクルの
管理をもっとスマートに
- 発行 & インストール
- 検知 & 復旧
- 更新 & 自動化
- 選任 & 委譲
CI/CD や DevOps のための継続署名
- ソースコード完全性の保証
- ソフトウェア署名の自動化
- 鍵と権限の一元管理
- 規則の適用を効率化
安全で柔軟性の高い世界基準の署名
- 暗号鍵に基づいたID
- 遠隔身元証明(RIV)
- AdobeとDocuSignとの簡単連携
- 柔軟なワークフロー
半導体埋め込みから後付けまでの
信頼チェーン
妥協なきデバイスセキュリティ
- トラストアンカーの埋め込み
- デバイス管理の自動化
- 効率的な一元管理
安全なアプリ開発を加速
- OSとプロセッサに依存しない開発
- 柔軟なメモリ容量
- 多くの開発言語に対応
人工衛星からペースメーカーまで、デジタルで信頼がどのように守られているかをご覧ください。
人工衛星からペースメーカーまで、デジタルで信頼がどのように守られているかをご覧ください。
TLS/SSL ベスト
プラクティスガイド
2022 年版
DevOps 向けの
実用に耐える
署名ポリシーを
確立するには
グローバルで文書の
署名と規制を管理する
デジサートと MATTER:
スマートホーム
デバイスのための
新しいセキュリティ規格
デジサートと MATTER:
スマートホーム
デバイスのための
新しいセキュリティ規格
デジサートと MATTER:
スマートホーム
デバイスのための
新しいセキュリティ規格
デジサートと MATTER:
スマートホーム
デバイスのための
新しいセキュリティ規格
戻る
業界最良の証明書を管理するためのベストプラクティスガイド
- デジサート TLS/SSL サーバ証明書
- DigiCert Smart Seal 購入
- 認証マーク 証明書 (VMC) 問合せ
- コードサイニング証明書 購入
- セキュアメール ID 問合せ
- ドキュメントサイニング証明書 購入
-
その他の製品&サービス
(WAF / 診断サービスなど)
全てを満たす最高のウェブサイト
セキュリティ
- 優先認証
- マルウェアスキャン
- 脆弱性アセスメントおよび PCI スキャン
- 継続的なCT ログモニタリング
- DigiCert Smart Seal と Norton Seal
- 他社を大きくしのぐ補償サービス
デジタルファーストの企業に最適
- 優先認証
- マルウェアスキャン
- DigiCert Smart Seal
- プロフェッショナルサービス
- 他社を大きくしのぐ補償サービス
安全と柔軟性を備える基本的な証明書
- 定評あるサポート
- ブラウザ対応率99%
- OV と EV に対応
- DigiCert Basic Seal
- プロフェッショナルサービス
柔軟で高機能、簡単に追加可能
- 全ての企業認証型(OV)証明書に対応
- 1ドメインで全サブドメインに対応
複数ドメイン向けに
柔軟なオプション
- 全てのEVと企業認証型(OV)証明書に対応
- 250ドメインまで対応
- マルチドメイン (UCC) SSL証明書
- SAN (Subject Alternative Names) 証明書
他に無い、最新機能のトラストマーク
- 顧客の信頼を得る
- コンバージョンを伸ばす
- 83%の顧客が価値を感じる機能
- コンシューマが選ぶ「最新鋭機能」
顧客に信頼されるメールを送信
- DMARCでフィッシング対策
- メール受信箱で「見える」認証済み
- メール開封率の向上
コード署名でソフトウェアを
安全に保つ
- 知的財産の保護
- EVと企業認証型(OV)を提供
- タイムスタンプと鍵保管オプション
- HSMに対応
フィッシング詐欺対策向け
電子証明書
- S/MIME 対応メールで利用可能
- ゲートウェイ/サーバ型配信に対応
- 送信元の実在性証明で安心
主要ワークフロー製品と連携可能な
電子署名で文書を信頼
- 法的効力を持つ署名
- 全世界で利用可能
- 個人向けまたは企業向け署名
その他の製品&サービス
業界最高水準の証明書を
管理するためのベスト
プラクティスガイド
2022 年版
業界最高水準の証明書を
管理するためのベスト
プラクティスガイド
2022 年版
何千社もの業務改善を
支援してきた証明書管理チェックリスト
何千社もの業務改善を
支援してきた証明書管理チェックリスト
TLS/SSL ベスト
プラクティスガイド
2022 年版
TLS/SSL ベスト
プラクティスガイド
2022 年版
オンライン購入において
DigiCert Smart Seal が
果たす役割
情シス、危機管理、
マーケティング部門に
有用な VMC
グローバルかつローカルのニーズを支える QTSP(Qualified Trust Services Provider)
PSD2 準拠について知っておきたいこと
大量のコードサイニング、
鍵、ポリシー管理で
信頼を保つ
グローバルで文書の
署名と規制を管理する
戻る
ウェビナー
ID、デバイス、証明書の無秩序な拡散を抑制
-
現実世界におけるデジタルトラスト
パートナーと共にデジタルトラストで現実の課題を解決します
- デジタルトラストとは何か
- コンプライアンスの重要性
概要
世界中があらゆるビジネスプロセス、ワークフロー、機能のデジタル化に向かう、あるいはそう強制されている今、インターネット初期からの教訓が成功の予兆になる可能性を秘めています。デジタルトラストが戦略の成否を決める時代です。間違ったソリューションは企業の 3 年後を危うくしかねません。
世界のIT・情報セキュリティリーダーたちが、デジタル技術の信頼性を欠いたセキュリティはセキュリティではないと考えている理由とは?
戻る
信頼の上に築かれたパートナーシップ
世界中にデジタルトラストをもたらす
強力なパートナーシップ
- エンタープライズ
- 中小企業
- 公共団体
- 技術パートナシップ
- 業界団体
戻る
CONTACT OUR SUPPORT TEAM
Americas
1.877.438.8776 (Toll Free US and Canada)
1.520.477.3102
1.801.701.9601 (Spanish)
1.800.579.2848 (Enterprise only)
1.801.769.0749 (Enterprise only)
Europe, Middle East Africa
+44.203.788.7741
Asia Pacific, Japan
+61.3.9674.5500
ソフトウェアサプライチェーン攻撃との戦い
DigiCert® Software Trust Manager に、ReversingLabs が開発した脅威検出機能とソフトウェア構成表(SBOM)機能が追加されます。顧客は、ソフトウェアに存在する脅威や脆弱性を、署名する前に安全に検出できるようになります。
新しい世界的なパンデミック
ソフトウェアサプライチェーン攻撃は増え続けています。MSI、Intel、Microsoft、CircleCI、3CX といった大手テクノロジー企業も先日ソフトウェアサプライチェーン攻撃を受けており、SolarWinds、Asus、Codecov、Docker Hub、A.P.、Moller-Maersk などといった従来の犠牲者に名前を連ねることになりました。今や誰も無縁ではいられないのです。
ガートナーが発表した最近のレポートによると、2025 年までに世界中の企業の 45% がソフトウェアサプライチェーン攻撃を経験すると予測されています。また別の業界レポートでも、ソフトウェアサプライチェーン攻撃は過去 3 年間で 742%(誤字ではありません!)も増加したという報告があります。
ソフトウェアサプライチェーン攻撃といっても、その手法はさまざまです。なかには、保護されていないコード署名鍵を狙い、それをダークウェブで販売したり、マルウェアへの署名に悪用したりする手法もあります。
一方、企業のソフトウェア開発ライフサイクルに存在する脆弱性を利用して、企業のソフトウェア製品に人知れず直接マルウェアを挿入するインフラストラクチャを構築する攻撃もあります。あるいは、マルウェアに感染したサードパーティ製ソフトウェア(オープンソースソフトウェアなど)を、組織が知らずに自社製品に組み込んだときに発生する攻撃もあります。
このように攻撃の手口は多様ですが、攻撃された企業への影響は同じです。顧客の信頼と評判、収益を失ったり、顧客や企業の機密データを奪われたりします。
治療に向けた競争
薬剤耐性をもち絶えず変異するウイルスと同様、ソフトウェアサプライチェーン攻撃というこの世界的なパンデミックに対しても、予防的な治療への多面的なアプローチが必要です。政府や業界団体からは、多くの提言が発表されています。
たとえば米国政府は、2021 年に大統領令 EO14028「Improving the Nation's Cybersecurity(国家のサイバーセキュリティの強化)」を発表し、国立標準技術研究所(NIST)によって「Software Supply Chain Security Guidance(ソフトウェアサプライチェーンのセキュリティに関するガイドライン)」が作成されるに至りました。それを受けて、国防総省も「Securing the Software Supply Chain Recommended Practices Guide for Developers(ソフトウェアサプライチェーンの保護に関する開発者向け推奨手順ガイド)」で発表しています。また、米国行政管理予算局も覚書 M-22-18 を発表。「連邦各機関は『機関によって、または機関に代わって収集または維持される情報(中略)』のどちらについてもセキュリティ保護を実施するよう求め」ています。これは、米国政府にソフトウェアを納入する際、そのソフトウェアやサービスのセキュリティを証明しなければならないプロバイダーに、直接的な影響を与えるものです。
これほど拡大しているパンデミックに対応しているのは、もちろん米国だけではありません。欧州連合(EU)とその加盟各国、英国、日本なども同様の方針を打ち出しています。
治療のためのさまざまな方策
一方、ソフトウェアサプライチェーン攻撃に対処するために、さまざまな治療対策が開発されています。いずれも、攻撃の検出と防止に対して独自の機能を備えていますが、どれかひとつで間に合うことはまずありません。動的アプリケーションセキュリティテスト(DAST)、静的アプリケーションセキュリティテスト(SAST)、ソフトウェア構成解析、安全なコード署名、SBOM などは、これまでに登場した対策のほんの一例です。
場合によっては、ソフトウェアサプライチェーンのセキュリティに取り組もうとして、パッチワークのようなアプローチをとる組織もあります。たとえば、あるチームが A という技術に大きく依存する一方、同じ組織の別のチームは B という技術に依存しているといった状態です。このように全社的な連携を欠いていると、組織は攻撃に対して脆弱になり、悪くすれば企業セキュリティの責任者が誤った安心感に浸ってしまうことにもなりかねません。
一例として、コード署名について考えてみましょう。これは30 年以上前から企業が利用してきたセキュリティ技術です。この技術が十分に機能したのは、コード署名の秘密鍵を盗みさえすればいいということを攻撃者が発見するまでのことでした。企業は、コード署名鍵をハードウェアセキュリティモジュール(HSM)などの安全な保管場所に移動することでこれに対処しています。ところが、攻撃者はこれを回避します。フィッシングなど他の手法を使って、秘密鍵へのアクセスに必要な認証情報にアクセスするのです。今や企業は、秘密鍵を安全に保管するだけではなく、安全なコード署名プロセスを実装しなければなりません。鍵のセキュリティ、ロールベースのアクセスおよび制御、一元的なポリシー定義、コード署名活動に関して反論の余地のないログといった手法です。
変異するウイルス、そして時間とともに進化する複数の治療法を用いる医療アプローチ。この両者の関係と同様、ソフトウェア業界もソフトウェアサプライチェーン攻撃に対抗すべく同じような対応が必要です。
むやみに署名しない
デジサートが、企業向けに強化された安全なコード署名ソリューションとして提供しているのが、DigiCert Software Trust Manager です。Software Trust Manager を使うと、ソフトウェアチームの所在にも、チームが使うプログラミング言語やプラットフォームの種類にも、またチームが開発するソフトウェアの種類(クラウドネイティブ、組み込みデバイス、モバイルアプリなど)にもかかわらず、全社的にコード署名を一元管理することができます。実際、これまで攻撃者に悪用されてきたコード署名プロセスの脆弱性がいくつか解消されており、特に企業全体で安全なコード署名ポリシーを徹底するという観点を貫くことができます。
といっても、ソフトウェアに署名するときには一定の前提条件があります。署名するソフトウェアにバグやマルウェアその他の脆弱性が存在しないこと、改ざんされていないこと、どのようなコンポーネントが使われているか(ちなみに、これが SBOM の必要性を促した新しい規制要件です)をソフトウェアチームが正確に把握していることなどです。
顧客の声を聞くと、ソフトウェアに対する脅威の検出がいかに重要か、そしてそれをセキュリティワークフローに統合することがなぜ重要かがよくわかります。それだけでなく、さまざまなソフトウェアアプリケーションを開発している各ソフトウェアチームが簡単に利用できる必要があり、ソフトウェアチームの生産性に影響を与えないこと(CI/CD パイプラインの速度低下など)も重要であるといいます。
そのほかセキュリティチームからは、企業全体のセキュリティポリシーを規定できる一元的な作業環境も求められています。コード署名プロセスのポリシー、脅威や脆弱性に対するディープバイナリスキャンを要求するポリシー、新しい規制要件を満たせる包括的な SBOM の作成などに必要だからです。
ReversingLabs が DigiCert® Software Trust Manager Threat Detection を強化
デジサートは、ソフトウェアサプライチェーンセキュリティのリーダーである ReversingLabs との提携を発表しました。ReversingLabs の高度なバイナリ解析と脅威検出を、デジサートによるエンタープライズクラスの安全なコード署名ソリューションと組み合わせてソフトウェアセキュリティを強化する提携といえます。デジサートのお客様には、ソフトウェアの完全性向上というメリットがあります。それを実現するのが、マルウェア、埋め込みソフトウェア、ソフトウェア改ざん、秘密漏洩などの既知の脅威がないかどうかを、安全に署名する前に確認できる深層解析です。
デジサートは、ReversingLabs の技術を、新しい DigiCert Software Trust Manager Threat Detection に統合しました。この新しい機能の販売とサポートはデジサートが担当します。Software Trust Manager のワークフローに統合され、チームに一元的な管理性と可視性を提供します。
Software Trust Manager Threat Detection は、組織全体で集中管理される単一のワークフローを実現します。また、内部開発されたソフトウェアから、オープンソースや商用ライセンスソフトウェアなども含めたサードパーティ製ソフトウェアまでを網羅する包括的な SBOM が生成されます。
ソフトウェアサプライチェーンに対する攻撃の増加に伴って、脅威の検出と SBOM の生成はますます重要性を増しています。そして、政府や業界による規制の焦点にもなっています。
COVID-19 のパンデミックを受け、この数年の間に世界中でさまざまなツール、治療方法、予防策が発展してきました。それとまったく同じように、ソフトウェアサプライチェーン攻撃に対しても、企業は複数のセキュリティ対策を採用しなければなりません。デジサートと ReversingLabs のパートナーシップは、その実現に向けた重要な一歩となるものです。
デジサートウェビナーでは、デジタルトラストを維持し、安全なソフトウェアエコシステムを確保するために必要な課題と戦略、ソリューションについて当社の専門家がパネルディスカッションを展開しました。録画(英語)はこちらから入手できます。
特集記事
-
法人向けTLS/SSLサーバ証明書、PKI、IoT、署名ソリューションを提供するグローバルリーディングカンパニーです。
-
-
© 2023 DigiCert, Inc. All rights reserved.
リーガルリポジトリ Webtrust 監査 利用条件 プライバシーポリシー アクセシビリティ Cookie 設定 プライバシーリクエストフォーム