コード署名
ソフトウェア配信パイプライン全体に暗号学的信頼を組み込む
今日のソフトウェアは高速で動いています。アプリケーションはCI/CDパイプライン、コンテナ、Kubernetesクラスター、ハイブリッドクラウドを通じて継続的に構築・展開されています。しかし、機敏性が加速する一方で、セキュリティは必ずしも追いついていません。製品環境に届くコードが本物で改ざんされておらず、チームからのものであることを保証することは非常に重要です。デジタル証明書を用いたコード署名はソフトウェアの完全性を証明する最も効果的な方法ですが、コード署名用証明書を安全に保つことが極めて重要です。組織は証明書を保護するために使用される暗号鍵を守らなければなりませんが、多くのチームは依然として鍵をローカルファイルやビルドサーバー、スクリプトに保存しています。この脆弱性は現実のものであり、さらに量子コンピューティングの台頭によって、一般的に使われている署名アルゴリズムが破られるリスクが高まっています。アプリケーションコードは頻繁に再署名されることが多いですが、OT(運用技術)やIoTデバイスは10年以上現場に残ることがあり、長期間有効な署名を量子脅威から守ることは特に困難です。堅牢で安全かつ将来にわたって有効なソリューションがなければ、ソフトウェアの完全性を支える信頼の連鎖は危険にさらされます。
ソリューション
>Fortanix Data Security Manager(DSM)は、統合データセキュリティプラットフォームであり、ポスト量子暗号(PQC)署名アルゴリズムをサポートしながら、コード署名のライフサイクル全体を保護します。Fortanix DSMは、エンタープライズキー管理と次世代ハードウェアセキュリティモジュール(HSM)をFIPS 140-2 レベル3認証とともに統合しています。DSMは署名キーがHSM対応のエンクレーブから決して外に出ることがないようにし、開発者やパイプラインがAPIや統合を通じて署名を要求する際もキーを保護・隔離します。DSMは、KubernetesでのDockerイメージ署名、GitHub Actionsを通じたバイナリリリース、検証済みファームウェアアップデートの生成など、最新のDevOpsワークフローにシームレスに統合されます。PQCのサポートにより、短命のアプリケーションコードも長寿命のデバイス署名も、量子コンピュータ対応の攻撃者から安全に保たれます。
主要な機能
キー管理サービス(KMS)
コード署名やその他の暗号タスクにおける鍵の作成、使用、ローテーションを簡素化します。
ロギングと監査証跡
鍵が生成された瞬間から、すべての鍵の使用と管理アクションが記録されます。
ロールベースアクセス制御と定足数承認
単独の人物が鍵に対して過剰な支配権を持つことを防ぎます。
証明ログ
秘密鍵がレベル3のHSM内で生成され、鍵のセキュリティを保証するために認証局と共有できることを検証します。
展開の柔軟性
オンプレミスでの導入か、完全管理型SaaSかを選択してください。
高可用性と災害復旧
グローバルに強靭なSaaSデプロイメントにより、キーは常に保護され、アクセス可能な状態が保たれます。
利点
署名鍵は完全に保護され、決して外部に漏れることはありません。
コンプライアンスのための完全な監査証跡と証明ログ
RBACと定足数制御による簡素化された鍵管理
シームレスなCI/CDパイプライン統合
量子耐性の長寿命デバイス署名
