ソフトウェアの整合性
ソフトウェアが本物であることを証明してください。誰かのマシンで実行する前に
ソフトウェアに署名して保護する2つの方法
コード署名証明書
認証済みのIDを使用してコードに署名してください。個人の場合はIV、組織の場合はOV、最大限の信頼性と認証済みの発行者IDが必要な場合はEVを使用してください。
コード向け電子署名ツール:クラウド署名
クラウドから署名。ハードウェアトークンは不要です。GitHub Actions、Jenkins、Azure DevOpsなどと連携します。
SSLのコード署名証明書とクラウド署名サービスを利用すると、実行ファイル、ドライバ、スクリプト、ファームウェアに暗号署名を行うことができ、ユーザー、プラットフォーム、オペレーティングシステムは、ソフトウェアが正規のものであり、改ざんされていないことを検証できます。
署名されていないコード、または不適切に署名されたコードは、ソフトウェアサプライチェーン攻撃の主要な攻撃経路の一つである。
SolarWindsやXZ Utilsといった企業によるソフトウェアサプライチェーン攻撃は、暗号署名なしでは開発者とエンドユーザー間のコードの完全性が保証されないことを示している。オペレーティングシステム、プラットフォーム、セキュリティツールは、署名付きバイナリをますます要求するようになっている。規制当局やコンプライアンスフレームワーク(SLSA、SSDF、SOC 2)は、ソフトウェアの完全性管理を義務付けている。
SSLのソフトウェアインテグリティ製品は、2つの異なるニーズに対応します。
- コード署名証明書: 署名するコードとあなたの身元を暗号的に紐付ける検証済み証明書。検証レベルは3段階(IV、OV、EV)あります。
- コード用の電子署名者EVコード署名に必要なハードウェアトークンを不要にするクラウドベースの署名サービスで、シームレスなCI/CDパイプライン統合を実現します。
コード署名証明書のオプションを比較する
質問1
発行元の認証情報やカーネルモードドライバの署名が必要ですか?
質問2
コード署名証明書には誰が記載されますか?
質問3
秘密鍵と署名はどのように保存しますか?
あなたのオプション
OV
OVコード署名
すべてのインストーラーに組織名が表示されます。すべてのWindowsバージョンで信頼されています。
組織による検証済み
すべてのWindowsバージョン
ハードウェアトークンまたは電子署名者
OVビューを見る →
EV
EVコード署名
発行元の身元が検証済みであること。カーネルモードドライバに必須。署名は有効期限切れ後も有効です。
発行者の身元が確認されました
カーネルモードドライバの署名
Windows ハードウェア開発者センター
EVを見る →
☁️ 電子署名者
コード用の電子署名者
クラウドHSM署名:上記の4種類の証明書のいずれにも対応します。ハードウェアトークンは不要です。
CI/CDまたはCLIからの署名
SSL.comが管理するFIPS 140-2 L3 HSM
購入または交換するトークンはありません
eSignerを見る →
Compliance & Standards
Microsoft Authenticode
すべてのWindows実行可能ファイルの署名、OVおよびEVの信頼済み
Windowsカーネルモードドライバー
EVコード署名証明書が必要です
マイクロソフト スマートスクリーン
SmartScreenのプロンプトには、認証済みの組織名が発行者として表示されます。
Apple Gatekeeper / 公証
macOSの配布には、開発者IDの署名と公証が必要です。
CA/Bフォーラム コード署名BR
すべてのSSL証明書はコード署名基準要件に準拠しています。
SSLを使う理由
ソフトウェアに署名して保護する準備はできていますか?
検証済みの証明書を使用してコードに署名して保護したり、ハードウェアトークン不要のクラウド署名を利用したり、または専門家にご相談の上、お客様の要件をご確認ください。
