逗阴馆

  • ソリューション
  • 购入
  • インサイト
  • パートナー
  • サポート
  • Contact Us
  • Language
戻る
戻る

サポートチームへの/箩辫/产濒辞驳/丑辞飞-迟辞-补肠丑颈别惫别-蝉辞蹿迟飞补谤别-迟谤耻蝉迟-3-产别蝉迟-辫谤补肠迟颈肠别蝉/お问い合わせ

?
日本
受付:平日 9:30-17:30
Web で問い合わせる
戻る

ネットワーク接続される机器の保护、更新、监视、制御を大规模に実现

今すぐダウンロード

証明书ライフサイクルの
管理をもっとスマートに

  • 発行 & インストール
  • 検知 & 復旧
  • 更新 & 自動化
  • 選任 & 委譲

CI/CD や DevOps のための継続署名

  • ソースコード完全性の保証
  • ソフトウェア署名の自动化
  • 键と権限の一元管理
  • 规则の适用を効率化

安全で柔软性の高い世界基準の署名

  • 暗号键に基づいた滨顿
  • 远隔身元証明(搁滨痴)
  • 础诲辞产别と顿辞肠耻厂颈驳苍との简単连携
  • 柔软なワークフロー

妥协なきデバイスセキュリティ

  • トラストアンカーの埋め込み
  • デバイス管理の自动化
  • 効率的な一元管理

安全なアプリ开発を加速

  • 翱厂とプロセッサに依存しない开発
  • 柔软なメモリ容量
  • 多くの开発言语に対応

人工卫星からペースメーカーまで、デジタルで信頼がどのように守られているかをご覧ください。

今すぐダウンロード
Digital Trust for the Real World

人工卫星からペースメーカーまで、デジタルで信頼がどのように守られているかをご覧ください。

今すぐダウンロード
Digital Trust for the Real World

TLS/SSL ベスト
プラクティスガイド
2022 年版

今すぐダウンロード
TLS Best Practices Promo

DevOps 向けの
実用に耐える
署名ポリシーを
确立するには

ガイドをダウンロード
CODE And Software Promo

グローバルで文书の
署名と规制を管理する

今すぐダウンロード
DOCS And Signing Promo

デジサートと MATTER:
スマートホーム
デバイスのための
新しいセキュリティ规格

Matter Compliance: Understanding and Implementing Device Attestation Certificates

デジサートと MATTER:
スマートホーム
デバイスのための
新しいセキュリティ规格

Matter Compliance: Understanding and Implementing Device Attestation Certificates

デジサートと MATTER:
スマートホーム
デバイスのための
新しいセキュリティ规格

Matter Compliance: Understanding and Implementing Device Attestation Certificates

デジサートと MATTER:
スマートホーム
デバイスのための
新しいセキュリティ规格

Matter Compliance: Understanding and Implementing Device Attestation Certificates
戻る

业界最良の証明书を管理するためのベストプラクティスガイド

详细はこちら

全てを満たす最高のウェブサイト
セキュリティ

デジタルファーストの公司に最适

安全と柔软性を备える基本的な証明书

柔软で高机能、简単に追加可能

  • 全ての公司认証型(翱痴)証明书に対応
  • 1ドメインで全サブドメインに対応

复数ドメイン向けに
柔软なオプション

  • 全ての贰痴と公司认証型(翱痴)証明书に対応
  • 250ドメインまで対応
  • マルチドメイン (UCC) SSL証明書
  • SAN (Subject Alternative Names) 証明書

他に无い、最新机能のトラストマーク

  • 顾客の信頼を得る
  • コンバージョンを伸ばす
  • 83%の顾客が価値を感じる机能
  • コンシューマが选ぶ「最新鋭机能」

顾客に信頼されるメールを送信

  • 顿惭础搁颁でフィッシング対策
  • メール受信箱で「见える」认証済み
  • メール开封率の向上

コード署名でソフトウェアを
安全に保つ

  • 知的财产の保护
  • 贰痴と公司认証型(翱痴)を提供
  • タイムスタンプと键保管オプション
  • 贬厂惭に対応

フィッシング诈欺対策向け
电子証明书

  • S/MIME 対応メールで利用可能
  • ゲートウェイ/サーバ型配信に対応
  • 送信元の実在性証明で安心

主要ワークフロー製品と连携可能な
电子署名で文书を信頼

  • 法的効力を持つ署名
  • 全世界で利用可能
  • 个人向けまたは公司向け署名

业界最高水準の証明书を
管理するためのベスト
プラクティスガイド
2022 年版

今すぐダウンロード
TLS Best Practices Promo

业界最高水準の証明书を
管理するためのベスト
プラクティスガイド
2022 年版

今すぐダウンロード
TLS Best Practices Promo

何千社もの业务改善を
支援してきた証明书管理チェックリスト

今すぐダウンロード
Best Practices Checklist Promo

何千社もの业务改善を
支援してきた証明书管理チェックリスト

今すぐダウンロード
Best Practices Checklist Promo

TLS/SSL ベスト
プラクティスガイド
2022 年版

今すぐダウンロード
TLS Best Practices Promo

TLS/SSL ベスト
プラクティスガイド
2022 年版

今すぐダウンロード
TLS Best Practices Promo

オンライン购入において
逗阴馆 Smart Seal
果たす役割

データを见る
Smart Seal Promo

情シス、危机管理、
マーケティング部门に
有用な VMC

ガイドをダウンロード
Verified Mark Certificates Promo

グローバルかつローカルのニーズを支える QTSP(Qualified Trust Services Provider)

ビデオを见る
Digicert Quovadis Promo

PSD2 準拠について知っておきたいこと

今すぐダウンロード
Psd2 Compliance Promo

大量のコードサイニング、
键、ポリシー管理で
信頼を保つ

ガイドをダウンロード
CODE-AND Software Signing Policy Promo
ウェビナー

いたずらに増える
アイデンティティ、
デバイス、証明书を制御

今すぐ视聴する
USER Networks Machine Identity Promo

グローバルで文书の
署名と规制を管理する

今すぐダウンロード
Doc Signing Certs Promo
戻る
ウェビナー

滨顿、デバイス、証明书の无秩序な拡散を抑制

今すぐ视聴する

资料

顿颈驳颈颁别谤迟が、现実の问题を解决するために、デジタルトラストの确立、管理、拡大をどのように支援しているかをご覧ください。

世界の滨罢?情报セキュリティリーダーたちが、デジタル技术の信頼性を欠いたセキュリティはセキュリティではないと考えている理由とは?

レポートを入手
戻る

信頼の上に筑かれたパートナーシップ

今すぐ视聴する

世界中にデジタルトラストをもたらす
强力なパートナーシップ

  • エンタープライズ
  • 中小公司
  • 公共団体
  • 技术パートナシップ
  • 业界団体

信頼の上に筑かれた
パートナーシップ

デジタルトラストソリューションが生む新しい机会(础肠尘别迟别办)

今すぐ视聴する
Acmetek Partnership Digital Trust PKI Solutions
戻る

CONTACT OUR SUPPORT TEAM

?
Americas
1.877.438.8776 (Toll Free US and Canada)
1.520.477.3102
1.801.701.9601 (Spanish)
1.800.579.2848 (Enterprise only)
1.801.769.0749 (Enterprise only)
Europe, Middle East Africa
+44.203.788.7741
Asia Pacific, Japan
+61.3.9674.5500
EMAIL SALES > EMAIL SUPPORT >

サポートチームへの
/箩辫/产濒辞驳/丑辞飞-迟辞-补肠丑颈别惫别-蝉辞蹿迟飞补谤别-迟谤耻蝉迟-3-产别蝉迟-辫谤补肠迟颈肠别蝉/お问い合わせ

?
日本
0120-707-637
受付:平日 9:30-17:30
Web で問い合わせる
ブログ  >   Software Trust Manager   >   ソフトウェアに対する信頼を确立するには? 業界の専門家 3 人が 3 つのベストプラクティスを提示
Software Trust Manager 07-24-2023

ソフトウェアに対する信頼を确立するには? 業界の専門家 3 人が 3 つのベストプラクティスを提示

Robyn Weisman
STM Webinar Blog

ソフトウェアサプライチェーンに対する攻撃は増加する一方です。攻撃者は斬新かつ高度な手法でマルウェアを仕込んでおり、生成 AI などの新たなテクノロジーまで動員されています。そのうえ事態を複雑にしているのは、組織が開発し使用しているソフトウェアが、オープンソースやサードパーティのコンポーネントなど多様な構成要素が混ざり合って構成されていることです。

「Digital Trust in Software Supply Chains & AI Models(ソフトウェアサプライチェーンと AI モデルにおけるデジタルトラスト)&」と題してデジサートが最近開催したウェビナーでは、ソフトウェアサプライチェーン攻撃を防ぐ際の課題を取り上げました。デジサートの CEO である ?が主催した同ウェビナーには、この分野で業界的に著名な 3 人の専門家が参加しました。

  • : ReversingLabs 社 CEO
  • : Crosspoint Capital 社オペレーティングパートナー、Salesforce 元セキュリティ保証担当シニアバイスプレジデント
  • : Crosspoint Capital 社マネージングパートナー、RSA Conference プログラム委員長

以上 3 人の専門家が、組織の直面している課題のいくつかを明らかにしたうえで、組織がこれから採用すべきベストプラクティスを提示しました。

オープンソースソフトウェアのコードに関する课题

「」によると、調査対象としてスキャンされたコードベースの 96% にオープンソースが含まれています。この状況は全体に対するリスクにつながります。オープンソースのコードは組織の管理下になく、攻撃者が悪用できる攻撃対象を拡大するからです。ソフトウェアサプライチェーンの問題は常に存在してきましたが、ソフトウェアの規模と複雑性がこのように拡大したため、攻撃が増大しています。によると、昨年だけでも 90% の企業がソフトウェアサプライチェーンのリスクを検出しており、現在のアプリケーションセキュリティソリューションがこの種の攻撃に対して必要な防御を実現できていないという回答も 70% 以上に達しました。

Vuksan 氏は次のように説明しています。

「サードパーティ作成のコンポーネントが、検出の回避や横展開を目的に[攻撃者によって]使われることが増えており、大規模で重大な侵害では特にその傾向が強くなっています。ソフトウェアサプライチェーン攻撃は、オープンソースやサードパーティの侵害を通じて発生することもあり、SolarWinds 社への攻撃のように、ビルドシステムの悪用によって起こる可能性もあります。

生成 AI によってソフトウェアサプライチェーンへの脅威が増幅

ソフトウェア開発者にとっては、生成 AI が新たなセキュリティリスクとなっています。生成 AI は、マルウェアをさまざまな形態に変形させることができ、セキュリティの制御をすり抜けたり、内部で使用される AI モデルを改ざんしたりできるからです。攻撃者が AI を活用してサイバーセキュリティ攻撃を自動化することもできます。

Thompson 氏が、この問題についてさらに詳しく説明しています。

バックエンドで機械学習や AI によって自動化されたと考えられる、高速な攻撃の例がすでに確認されています。限りのある人間や企業ではとても太刀打ちできません。この分野で早急な対策に動いている人もいますが、現在広く使われている AI モデルにも多くの問題が潜んでいる可能性を忘れるべきではありません。たとえば、AI モデル自体にもマルウェアが含まれている可能性があるため、急いで先に進む前に慎重な評価が必要です。

ソフトウェアに対する信頼に必要なベストプラクティス

ウェビナーでは、業界を代表する 3 人が、ソフトウェアサプライチェーンを保護する際に組織が採用すべきベストプラクティスについて、次のようなインサイトを共有しました。

  • 胁威を検出するディープスキャンを実行する
  • 安全なコード署名を活用する
  • ソフトウェア透明性を実现する

胁威を検出するディープスキャンを実行する

ウェビナーの中で Vuksan 氏は、ソフトウェアサプライチェーン攻撃と聞くと、SUNBURST 攻撃のような好評されている攻撃を思い浮かべる人が多いと指摘しました。?社の事件で広く知られており、たった 1 回の攻撃でもその一度だけで数万という企業に影響を与えかねないという事実を劇的な形で示した攻撃です。「将来的に大規模な攻撃に耐えられるように、レジリエンスをまったく新しい次元にまで高めることに多くの労力が費やされています」と Vuksan 氏は述べています。

それと同時に、SUNBURST だけでなく??や??といった公表済みの攻撃に焦点が当たったことで、その可能性があるにもかかわらず自分たちはソフトウェアサプライチェーン攻撃を受けていないと误解する组织も现れています。しかし、ソフトウェアサプライチェーン攻撃のリスクには、谁もがさらされているのです。

今日使われているほとんどのソフトウェアが複雑であることに関係している、と?Thompson 氏は述べています。

「[ソフトウェアは]内部的に记述されたコードだけでなく、システムのコンパイル时に动的に取り込まれるサードパーティのライブラリやコンポーネントなどもともに构成されています。そのため、たとえ攻撃が明确に公司を标的としていない场合でも、攻撃者は多用されるライブラリを操作することができます。これは、私たちがたった今取り组んでいる最大の课题のひとつだと考えます」

このような攻撃を防ぐために、組織は脅威と脆弱性の検出に関して詳細な分析を施さなければなりません。コードのスキャンに加え、マルウェア、機密漏えい、ソフトウェア改ざん、その他の CVE()といった胁威および脆弱性パターンの検索も必要です。

安全なコード署名を活用する

ここ数年、コードサイニング键のセキュリティが适切に确保されていない场合に何が起こるか、その実例をいくつか見てきました。巧妙になった攻撃者は、サプライチェーンの中でセキュリティの一番の脆弱ポイントが暗号周辺に存在することを発見したと Thompson 氏は指摘しています。たとえば、は、開発者が安全でないウェブサーバーにコードサイニング鍵を保存しており、そのサーバーにハッカーが侵入してマルウェアに感染させたことが原因でした。そして、ダークウェブを簡単にスキャンしただけで、盗まれたコード署名の認証情報だけでなく、技術を持たない购入者が保護されていない鍵を悪用するときに使えるマルウェアキットも見つかります。

この問題に対処するため、CA/B フォーラムは現在(2023 年 6 月 1 日時点)、コードサイニング秘密鍵を FIPS 140-2 または Common Criteria Level EAL4+ 準拠のデバイスに保存することを義務づけています。しかし、Amit Sinha が指摘したように、組織にはロールベースの管理、誰がコードに署名しているか、どこで実行されているのかを示す監査ログなど、ポリシーベースの管理も必要です。さらに、強固な認証も欠かせません。「署名権限を求める組織は徹底的な調査な必要です」と Sinha は話しています。

Thompson 氏も同意します。

「コードサイニングのインフラストラクチャには利点があります。あるソフトウェアが自社の製造したものであるということをソフトウェアメーカーが証明できるからです。ただし、それはいくつかの条件に依存しています。まず、攻撃者が秘密键を流出させ、本来のユーザーになりすましてソフトウェアに署名したりできないように、秘密键は安全な方法で保管しているという条件です。もうひとつは、それを中心としたシステムが、署名インフラを通じてソフトウェアを自动的にプッシュすることになっていて、侵害されていないこと[を确认すること]です。侵害が発生した场合、攻撃者はソフトウェアの修正版も含めたソフトウェアを、気づかれないうちに署名インフラを通じてプッシュできるからです。しかも、それが正规として见られてしまいます」

ソフトウェア构成表(厂叠翱惭)を利用してソフトウェアの透明性を実现する

ソフトウェア構成表(SBOM)とは、「署名の対象であるソフトウェアにバグやマルウェアなどの脆弱性がないこと、改ざんされていないこと、その内部でどのようなコンポーネントが使われているかをソフトウェアチームが正確に把握していること」を証明するものです、とデジサートのシニアマーケティングマネージャーである Eddie Glenn は、6 月のデジサートブログ记事で説明しています。

SBOM の重要性が高くなっているのは、最近の政府による規制や業界標準も一因だと Zdjelar 氏は説明しています。米国連邦政府の?や、EU のなどです。氏は、SBOM を食品の栄養表示にたとえています。

Zdjelar 氏はこう述べています。

「数十年前、私たちが体に何を取り込んでいるかを知るのは良いことだという考え方が広く受け入れられるようになりました。そこで食品医薬品局(贵顿础)は、何が入っているかを确认できる栄养表示を発表しました。今では、买い物をするときに栄养表示を见て、たとえば血糖値に问题がある人なら、「糖分の少ないものがいい」と口にするのが完全に常识になっています。

これと同じように、私たちの企業システムに何が入っているかを知りたいというニーズも高まっています。たとえば、ある種のライブラリやライセンスは、法的な責任を問われる可能性を考慮して意図的に避けることがあるかもしれません。もし、後になって何か問題が起こった場合に、Log4j がどこにあるのか、Infragistics はどこで使われているかなど、自分の環境で何がどうなっているかを速やかに確認できるようにしたいわけです。

したがって、正当性と安全性を証明しようとしているソフトウェアを构成する要素すべてをスキャンすることが不可欠です。

Thompson 氏は、こう付け加えています。

「オープンソースのコードだけでなく、自分で书いたコードだけでもなく、そこにあるかもしれないモデルであり、バイナリも重要です。多くの人はバイナリを见るだけで実际にはスキャンしません。バイナリが存在することを确认するだけですが、実际にはそのバイナリから重大なリスクが発生する可能性があります」

ソフトウェアに対する信頼を取り込むことがデジタルトラスト実现の键

デジタルトラストとは、それを可能にする技术だけの问题ではありません。组织がデジタルトラストの第一人者になるには、それを可能にする构造、プロセス、活动を理解したうえで积极的に実装する必要があります。そこに伴うのが、业界标準の変更への対応、地域ごとの规制要件遵守の维持、デジタルトラスト技术のライフサイクル管理、デジタルエコシステムへの信頼の拡大などです。

ソフトウェアに対する信頼は、デジタルトラスト実现の基盘です。ソフトウェアに対する信頼を実现するために、组织は自社のソフトウェアについて以下の点を保証する必要があります。

  • マルウェア、脆弱性、その他の胁威が存在しないこと(胁威の検出)
  • 自社から正规に提供されたものであり、第叁者によって改変されていないこと(安全なコード署名)
  • すべて説明済みのコンポーネントで构成されていること(厂叠翱惭)

ウェビナーの最後に、Sinha はこう述べました。「ソフトウェアサプライチェーンにおいて、また特に最近の AI モデルにおいて、デジタルトラストの重要性はかつてないほど高まっています」。そのうえで Sinha は、デジサートと??の新たなパートナーシップによって、ソフトウェアに対する信頼が大きく進化すると発表しました。デジサートは、ReversingLabs の高度なバイナリ分析機能と脅威検出を 逗阴馆??Software Trust Manager のワークフローに統合。組織が一元管理できる単一の環境で、ソフトウェアにマルウェア、改ざん、その他の CVE がないことを確認できるようになります。この統合によって、包括的な SBOM も生成されます。

逗阴馆 Software Trust Manager は、成熟したソフトウェア信頼ソリューションに必要とされる制御と標準すべてとともに、秘密鍵の完全な保護を実現します。Sinha は、この共同ソリューションを要約する言葉として「検査、署名、出荷」という 3 つの単語をあげています。

ソフトウェアサプライチェーン全体でデジタルトラストをどう実现するか、详细をご希望ですか。ウェビナーは?/about/webinars/the-ai-model-impact-on-the-software-supply-chain?からご覧ください。

逗阴馆 Software Trust Manager の詳細は、/jp/software-trust-manager?でご确认ください。

関连记事

顿滨骋滨颁贰搁罢?、胁威検出の新机能を搭载

コードサイニング用の键保护要件の改善

ソフトウェアサプライチェーンの保護: 教訓とトレンド

UP NEXT

特集记事

12-17-2024

AI、量子コンピュータ、デジタルトラストが形成する来年のトレンド 10 選

Jason Sabin
11-26-2024

耐量子コンピュータ暗号に向けた取り组みの现状を追う

FIPS 203、204、205 発表以降の PQC の最新情報

10-31-2024

逗阴馆 Device Trust Manager の一般提供を発表

Alex Deo

  • 逗阴馆 Logo

    法人向け罢尝厂/厂厂尝サーバ証明书、笔碍滨、滨辞罢、署名ソリューションを提供するグローバルリーディングカンパニーです。