ブログ  >   CA/B フォーラム   >   コードサイニング証明書の有効期間変更を理解する
CA/B フォーラム 10-15-2025

コードサイニング証明書の有効期間変更について

Dean Coclin
Code Signing Certs Blog Updated Hero

CA/Browser Forumは、パブリックトラストのコードサイニング証明書の最大有効期間を従来の39か月(約3年)から460日(約15か月)に短縮する新しい投票を承認しました。この変更は2026年3月1日に施行され、業界が自動化を推進し、ソフトウェアサプライチェーンセキュリティ(SSC)を強化する取り組みの一環です。

ソフトウェアの真正性と完全性を証明するためにコードサイニングを利用している組織にとって、この変更は重要な運用上の課題を提起します。「これは自社にどのような影響があるのか?」「誰が最も影響を受けるのか?」「そして最も重要なことに、今何を準備すべきか?」という点です。

TLSからコードサイニングへ:有効期間短縮の流れ

認証局、ブラウザベンダー、プラットフォーム提供者で構成されるCA/Browser Forum(CA/BF)は、デジタル証明書に関するルールを定めています。有効期間を短縮することで、暗号鍵のローテーションを頻繁に行い、秘密鍵が漏洩した場合のリスクを低減できます。

また、更新頻度を高めることで、組織は最新の鍵管理を維持し、現代的な標準に準拠しつつ、秘密鍵の保存・使用方法に対する管理を強化できます。これにより、暗号準備性を定期的に評価し、将来的な耐量子コンピュータ暗号への移行も計画的に進められます。

近年、TLS/SSL証明書の有効期間は398日に短縮され、2026年3月には200日、翌年には100日、2029年には47日にまで短縮される予定です。今度はコードサイニング証明書の番です。コードサイニング証明書の新しい460日の上限は、短期証明書モデルに沿うもので、定期的な鍵の更新と迅速なセキュリティ強化を促進します。

誰が影響を受けるのか

パブリックトラストのコードサイニング証明書を利用しているすべての組織が、この新しい460日制限の影響を受けます。影響の大きさは、秘密鍵と署名ワークフローの管理方法によって異なります。

ハードウェアトークン利用者

FIPSまたはCommon Criteria準拠のハードウェアトークン(例:USBトークン)に秘密鍵を保管している組織は、最も大きな運用変更に直面します。2026年3月1日以降、証明書は15か月ごとに更新が必要になります。現在、数年単位で更新している場合、このサイクルを大幅に短縮する必要があります。

クラウド署名サービス利用者

Software Trust Managerなどのマネージド署名プラットフォームを利用している場合、影響は最小限です。これらのサービスはすでに証明書の自動更新と安全な鍵ローテーションを実現しているため、ユーザーはほとんど影響を感じません。

レガシー環境の開発者

手動プロセスや固定証明書に依存する旧式のCI/CDパイプラインは更新が必要です。この変更は、自動化や最新の署名APIへの移行を促す好機となります。

顧客にとっての影響

最も直接的な影響は、コードサイニング証明書の更新頻度が高くなることです。一見手間が増えるように見えますが、実際にはレジリエンスとセキュリティの向上につながります。

顧客が準備すべきポイント:

  • 年間更新スケジュール: 12か月サイクルで更新計画を立て、期限切れ前に更新を実施。
  • ハードウェア更新の頻度増加: トークン利用者は、クラウド署名サービスへの移行を検討。
  • 自動化への注力: 手動管理では短期サイクルに対応できません。自動化は停止リスクを軽減し、継続的な鍵管理を可能にします。
  • SSCベストプラクティスとの整合: 頻繁な更新により、マルウェア混入や改ざんへの防御を強化します。

短期コードサイニング証明書への備え

この変更は、単なる準拠対応ではなく、署名インフラを最新化する好機です。以下の手順で準備を進めましょう。

  1. 証明書と更新日を棚卸し: 現在の証明書の用途と有効期限を把握し、可視化することが第一歩です。
  2. 鍵保管方法の見直し: 物理トークンを利用している場合は、クラウドまたはマネージド署名サービスへの移行を検討。
  3. 更新・署名ワークフローの自動化: ACMEプロトコルやDigiCert APIを活用し、自動発行・更新をビルドパイプラインに統合。
  4. 文書とポリシーの更新: 社内セキュリティポリシーを15か月有効期間に合わせて更新し、責任範囲を明確化。
  5. 早期にCAと連携: 認証局と連携して移行計画を策定し、自動化戦略と環境整備を前倒しで進めましょう。

次のデジタルトラストの時代へ

460日への移行は混乱ではなく、進化です。短いライフサイクルによってセキュリティを強化し、自動化を促進し、リスクを低減します。

2026年3月までに自動化・クラウド化された署名サービスを導入している組織はスムーズに適応できる一方、手動管理やレガシー環境に依存する組織は運用負荷が増す可能性があります。

今こそ、コードサイニングのあり方を見直すときです。新しいルールに対応するだけでなく、すべてのリリースの信頼性を強化しましょう。

次のステップへ進む準備はできていますか?デジサートの担当者に相談し、DigiCert Software Trust Managerがどのように更新の自動化、鍵の保護、署名ワークフローの近代化を支援できるかをご確認ください。

関連記事 

特集記事

blog url
証明書管理04-14-2025

TLS 証明書の有効期間は 47 日へ短縮されることが決定

blog url
X9 PKI Blog Hero
PKI (公開鍵基盤)05-08-2025

X9 PKI を使うべきタイミングとは?

blog url
TrustSDK Blog Hero
Device trust07-30-2025

すぐに実装できる“信頼の”セキュリティ:TrustCore SDK がオープンソースに

  • DigiCert Logo

    法人向けTLS/SSLサーバ証明書、PKI、IoT、署名ソリューションを提供するグローバルリーディングカンパニーです。