コード署名とは

概要

世界中があらゆるビジネスプロセス、ワークフロー、機能のデジタル化に向かう、あるいはそう強制されている今、インターネット初期からの教訓が成功の予兆になる可能性を秘めています。デジタルトラストが戦略の成否を決める時代です。間違ったソリューションは企業の 3 年後を危うくしかねません。

ソフトウェアのバイナリまたはファイルにデジタル署名を付与するプロセスのことをコード署名またはコードサイニングと言います。このデジタル署名により、ソフトウェアの作成者または発行者の本人性が検証され、ファイルが署名後に変更または改ざんされていないことが保証されます。コード署名は、ソフトウェアを受領した人へコードが信頼できるものであるというお墨付きを与えるものであり、悪意をもってシステムやデータを危殆化しようとする企てに対抗する上で極めて重要な役割を果たします。

コード署名のユースケースは、社内/社外で使用するソフトウェア、パッチや修正プログラム、テスト、IoT デバイスの製品開発、コンピューティング環境、モバイルアプリなどです。コード署名はコードとソフトウェアだけでなく、アプリケーション、ファームウェア、ファイル、メッセージ、XML、スクリプト、コンテナ、イメージなどにも適用されます。

コード署名の仕組みはどうなっているのですか?

コード署名には、他の PKI （公開鍵基盤）テクノロジーと同じように、公開鍵/秘密鍵ペア、CA（認証局）、電子証明書が関与します。ソフトウェアの発行者は、ソフトウェアに署名する際、そのソフトウェア、コードサイニング証明書、デジタル署名を含むバインドパッケージを作成します。コードサイニング証明書には、発行者の ID および公開鍵のほか、ID が CA によって認証済みであることを裏付ける CA の署名が含まれています。デジタル署名とは、発行者の秘密鍵で署名されたハッシュ値です。ソフトウェアが配布されると、ユーザーエージェントは証明書の有効性と完全性をチェック（ソフトウェアが署名後に改ざんされていないかを判定）します。ユーザーエージェントは証明書に含まれている公開鍵を使用して、デジタル署名からハッシュ値を取り出します。そして、デジタル署名のハッシュ値を、ソフトウェアから計算したばかりのハッシュ値と比較します。ハッシュ値が一致すれば、ソフトウェアが改ざんされていないことがお客様またはユーザーに証明されます。秘密鍵の管理は、コード署名において重要なセキュリティ要素です。鍵が盗まれたり、管理が不適切だったりすると、サイバー犯罪者はその鍵を使って悪意あるコードに署名し、開発者または客先のシステムにアップデートとして配布できてしまいます。

コードサイニングのしくみ

コード署名はなぜ必要なのですか?

コード署名は、マルウェアの拡散を防ぐため、Java、Microsoft などの主要なソフトウェアプラットフォームで必須になっています。また、改ざんされたコード、あるいは不明な発行元のコードがお客様またはユーザーにダウンロードされないようにするためのセキュリティのベストプラクティスでもあります。コード署名は、あなたの組織が実際に発行したコードまたはソフトウェアと、あなたの組織が発行したかのように見せかけてパッケージ化されたコードを判別します。さらに、ソフトウェアが一般に公開された場合、ソフトウェアが署名されていなければ、ユーザーにセキュリティ警告が表示されることもあります。社内で使用するために設計開発されるコードの場合、コード署名は説明責任と管理性を高めます。

どのような種類のソフトウェアに署名できますか?

あらゆる種類のバイナリまたはファイルに署名できます。例を以下に挙げます。

Web サイトからダウンロード可能なソフトウェアアプリケーション
社内向け IT アプリケーション
モバイルアプリケーション
XML ファイル
スクリプト
ソフトウェアイメージ
コンテナ
ドライバおよびユーティリティ
ファームウェア

コード署名を行うにはどのような手順が必要ですか?

まず、ソフトウェア発行者が公開鍵/秘密鍵ペアを生成します。そして、証明書署名要求（CSR）を公開鍵ともに認証局（CA）に提出してコードサイニング証明書を取得します。CA は発行者の身元を確認し、CSR を認証します。認証に成功すると、CA はコードサイニング証明書を発行します。この証明書には、発行者の ID、公開鍵、CA の署名が含まれます。この CA の署名は重要です。証明書の持ち主の身元について信頼できる第三者が太鼓判を押しているようなものだからです。コードサイニング証明書は、発行者の本人性だけでなく、ソフトウェアの完全性の裏付けにもなります。ソフトウェアの発行者は、ソフトウェアに署名する際、そのソフトウェア、コードサイニング証明書、デジタル署名を含むバインドパッケージを作成します。

このデジタル署名には、以下の手順も必要になります。

ハッシュアルゴリズムを用いて、ハッシュ値（ソフトウェア固有の暗号表現）を生成します。
発行者の秘密鍵と署名アルゴリズムを使用してハッシュ値に署名します。

コード署名は、手作業で行うことも、継続的インテグレーション/継続的デリバリー（CI/CD）プロセスなどのソフトウェア開発ライフサイクルの一部として自動化することもできます。

ネットワーク接続される機器の保護、更新、監視、制御を大規模に実現

PKIと証明書のリスクを一元管理

PKIと証明書のリスクを一元管理

証明書ライフサイクルの 管理をもっとスマートに

CI/CD や DevOps のための継続署名

安全で柔軟性の高い世界基準の署名

半導体埋め込みから後付けまでの 信頼チェーン

妥協なきデバイスセキュリティ

安全なアプリ開発を加速

人工衛星からペースメーカーまで、デジタルで信頼がどのように守られているかをご覧ください。

人工衛星からペースメーカーまで、デジタルで信頼がどのように守られているかをご覧ください。

TLS/SSL ベスト プラクティスガイド 2022 年版

DevOps 向けの 実用に耐える 署名ポリシーを 確立するには

グローバルで文書の 署名と規制を管理する

デジサートと MATTER： スマートホーム デバイスのための 新しいセキュリティ規格

デジサートと MATTER： スマートホーム デバイスのための 新しいセキュリティ規格

デジサートと MATTER： スマートホーム デバイスのための 新しいセキュリティ規格

デジサートと MATTER： スマートホーム デバイスのための 新しいセキュリティ規格

業界最良の証明書を管理するためのベストプラクティスガイド

最も信頼される証明書の比較

全てを満たす最高のウェブサイト セキュリティ

デジタルファーストの企業に最適

安全と柔軟性を備える基本的な証明書

柔軟で高機能、簡単に追加可能

複数ドメイン向けに 柔軟なオプション

他に無い、最新機能のトラストマーク

顧客に信頼されるメールを送信

コード署名でソフトウェアを 安全に保つ

フィッシング詐欺対策向け 電子証明書

主要ワークフロー製品と連携可能な 電子署名で文書を信頼

その他の製品＆サービス

業界最高水準の証明書を 管理するためのベスト プラクティスガイド 2022 年版

業界最高水準の証明書を 管理するためのベスト プラクティスガイド 2022 年版

何千社もの業務改善を 支援してきた証明書管理チェックリスト

何千社もの業務改善を 支援してきた証明書管理チェックリスト

TLS/SSL ベスト プラクティスガイド 2022 年版

TLS/SSL ベスト プラクティスガイド 2022 年版

オンライン購入において DigiCert Smart Seal が 果たす役割

情シス、危機管理、 マーケティング部門に 有用な VMC

グローバルかつローカルのニーズを支える QTSP（Qualified Trust Services Provider）

PSD2 準拠について知っておきたいこと

大量のコードサイニング、 鍵、ポリシー管理で 信頼を保つ

ウェビナー

いたずらに増える アイデンティティ、 デバイス、証明書を制御

グローバルで文書の 署名と規制を管理する

ウェビナー

ID、デバイス、証明書の無秩序な拡散を抑制

現実世界におけるデジタルトラスト

概要

信頼の上に築かれたパートナーシップ

世界中にデジタルトラストをもたらす 強力なパートナーシップ

信頼の上に築かれた パートナーシップ

CONTACT OUR SUPPORT TEAM

サポートチームへの お問い合わせ

コード署名の信頼性

コード署名とは 何ですか?