コードサイニング証明書と秘密鍵に適用される変更について
コードサイニング証明書と秘密鍵に適用される変更について
2022年11月に予定されているOVコード署名に関する変更準備はできていますか?
DigiCert(デジサート)(本社:アメリカ・ユタ州)の日本の正規代理店としてデジタル証明書ソリューションを提供する株式会社サイバービジョンホスティング(以下 CVH、本社: 神奈川県横浜市、代表取締役:古木 一行)が販売するDigiCert(デジサート)OVコードサイニング証明書の変更についてご案内します。
今春報じられた、NVIDIAから署名付き証明書データが流出しNVIDIA製ドライバーになりすましたマルウェアが複数登場した事件では、 組織にとって最も機密性の高いデジタル資産であるコードサイニング証明書を、悪意を持った第三者が手に入れたときに何が起こるか明らかになりました。
サイバー犯罪者が盗んだ証明書を使用し、悪意のあるソフトウェアに署名して配布したことによって大きな被害が発生しました。
このような攻撃を防止するために、CA/B フォーラムは、コードサイニング証明書の発行およびインストール プロセスにいくつかの変更を加えることを決定しました。
11月15日以降、組織検証 (OV) および個人検証 (IV)コードサイニング証明書は、発行元の認証局 (CA) によって事前構成された安全なハードウェアに発行または保存される必要があります。
これは、すべてのコードサイニング証明書が、EV コードサイニング証明書と同様の方法で発行されることを意味します。
つまり、USBトークンまたは、ハードウェア セキュリティ モジュール (HSM) に設置した状態で発行されます。
>> [重要]コードサイニング証明書における要件変更について(2022年11月予定)
これらの変化が起こっている理由
これらの変更は、CA/Browser Forum (CA/B Forum) Baseline Requirements (BR) for the Issuance and Management of Code Signing (バージョン 2.8) で概説されています。投票 CSC-13 — 加入者キー保護要件の更新 によって更新され、ベースライン要件の以前のバージョン (v. 2.7) に適用されました。
証明書の秘密鍵を拡張検証 (EV) コード署名証明書と同じくらい安全にすることを達成するため、鍵を安全に保管して、悪者 (およびその他の権限のないユーザー) の手に渡らないようにする必要があります。
当該要件に伴い、コードサイニング証明書は個別のトークン/HSM単位で管理が必要となります。セクション 16.3.1、コード署名証明書 BR (バージョン 2.8) の加入者秘密鍵の保護:
「CA は、サブスクライバーが次のオプションのいずれかを使用して、少なくとも FIPS 140 に準拠していると認定されたユニット設計フォーム ファクターを備えたハードウェア暗号モジュールでコード署名証明書の秘密鍵を生成および保護するという契約上の表明をサブスクライバーから取得する必要があります。 -2 レベル 2 または Common Criteria EAL 4+"
リモートワークの浸透や、複数の作業者がコードの署名に携わる場合は、これまで以上に鍵の保管、管理方法の見直しが求められます。
CVHでは、クラウド型のHSMと統合し鍵と証明書を一元管理することが可能な、DigiCert(デジサート)Secure Software Managerのご提供も可能です。
Secure Software Managerの導入によって、複数の開発担当者やユーザが、随時必要に応じて素早く簡単にツール、アプリケーションやライブラリ等「コード」型のあらゆるソフトウェアに署名することが可能となります。
主な機能
- HSMキーストレージ- 秘密鍵・証明書、および署名作業を集中管理
- 社内/部門のセキュリティポリシーを適用
- CI/CDパイプラインとの統合
詳しくはこちらをご覧ください
>>コード署名の保護と自動化
>>お問合せはこちら
本件に関するお問合せ先:
───────────────────────────────────
■サービスサイトURL: https://brandkeeper.jp
■会社概要
社名 : 株式会社サイバービジョンホスティング
所在地 : 神奈川県横浜市港北区新横浜2-15-12 共立新横浜ビル5階
設立 : 2009年07月
代表 : 代表取締役 古木 一行
事業者番号: 一般第二種電気通信事業者 総務省届出番号 A-21-10690
■本件に関するお問合せ先:
リスクマネジメントソリューション(RMS)事業部
TEL :045-548-4656
E-MAIL:info@rms.ne.jp, info@brandkeeper.jp
───────────────────────────────────