ServerKeeper
運営会社

コード証明書と秘密鍵に適用される変更について(適用日程変更)
適用日変更のお知らせ:(2022年11月→2023年6月)OVコード署名に関する変更準備はできていますか?



コード証明書と秘密鍵に適用される変更について(適用日程変更)

■適用日変更のお知らせ:(2022年11月→2023年6月)OVコード署名に関する変更準備はできていますか?

DigiCert(デジサート)(本社:アメリカ・ユタ州)の日本の正規代理店としてデジタル証明書ソリューションを提供する 株式会社サイバービジョンホスティング(以下 CVH、本社: 神奈川県横浜市、代表取締役:古木 一行)が販売するDigiCert(デジサート)OV(企業認証)のコードサイニング証明書の発行要件に関する変更適用日が、2022年11月から2023年6月へと変更となりましたことをご案内します。

今春報じられた、NVIDIAから署名付き証明書データが流出しNVIDIA製ドライバーになりすましたマルウェアが複数登場した事件では、組織にとって最も機密性の高いデジタル資産であるコードサイニング証明書を、悪意を持った第三者が手に入れたときに何が起こるか明らかになりました。
サイバー犯罪者が盗んだ証明書を使用し、悪意のあるソフトウェアに署名して配布したことによって大きな被害が発生しました。

このような攻撃を防止するために、CA/ブラウザフォーラムは、コードサイニング証明書の発行およびインストール プロセスにいくつかの変更を加えることを決定し、2022年11月15日を適用日としておりましたが、この度CA/ブラウザフォーラムはその適用日を2023年6月1日(UTC)に延期することを決議いたしました。

2023年6月1日以降、組織検証 (OV) および個人検証 (IV)コードサイニング証明書は、発行元の認証局 (CA) によって事前構成された安全なハードウェアに発行または保存される必要があります。
これは、すべてのコードサイニング証明書が、EV コードサイニング証明書と同様の方法で発行されることを意味します。つまり、USBトークンまたは、ハードウェア セキュリティ モジュール (HSM) に設置した状態で発行されます。

Baseline Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates
>>詳しくはこちら

Voting results Ballot CSCWG-17: Subscriber Private Key Extension
>>詳しくはこちら

1. (更新) 適用予定日
変更前: 2022年11月頃
変更後: 2023年6月

2. (更新)変更内容
2-1. CA/ブラウザフォーラムにおけるコードサイニング証明書基本要件について

変更前:当該要件では、2022年11月15日 (UTC)以降に発行されるコードサイニング証明書の秘密鍵は、FIPS140 Level2、 Common Criteria EAL 4+、または同等のセキュリティ要件を満たすハードウェアに格納されなければならないと定められております。

変更後:当該要件では、2023年6月1日 (UTC)以降に発行されるコードサイニング証明書の秘密鍵は、FIPS140 Level2、 Common Criteria EAL 4+、または同等のセキュリティ要件を満たすハードウェアに格納されなければならないと定められております。

当変更によりEVコードサイニング証明書と同等に企業認証のコードサイニング証明書の秘密鍵を安全に保護することができます。
なお、当要件は、2023年6月1日以降に発行されるコードサイニング証明書に影響します。2023年6月1日以前に発行された証明書は影響を受けません。

>>[重要]コードサイニング証明書における要件変更について(2022年11月予定)

これらの変化が起こっている理由

これらの変更は、CA/Browser Forum (CA/B Forum) Baseline Requirements (BR) for the Issuance and Management of Code Signing (バージョン 2.8) で概説されています。 投票 CSC-13 — 加入者キー保護要件の更新 によって更新され、ベースライン要件の以前のバージョン (v. 2.7) に適用されました。
証明書の秘密鍵を拡張検証 (EV) コード署名証明書と同じくらい安全にすることを達成するため、鍵を安全に保管して、悪者 (およびその他の権限のないユーザー) の手に渡らないようにする必要があります。

セクション 16.3.1、コード署名証明書 BR (バージョン 2.8) の加入者秘密鍵の保護:

「CA は、サブスクライバーが次のオプションのいずれかを使用して、少なくとも FIPS 140 に準拠していると認定されたユニット設計フォーム ファクターを備えたハードウェア暗号モジュールでコード署名証明書の秘密鍵を生成および保護するという契約上の表明をサブスクライバーから取得する必要があります。 -2 レベル 2 または Common Criteria EAL 4+"

当該要件に伴い、コードサイニング証明書は個別のトークン/HSM単位で管理が必要となります。
リモートワークの浸透や、複数の作業者がコードの署名に携わる場合は、これまで以上に鍵の保管、管理方法の見直しが求められます。

CVHでは、クラウド型のHSMと統合し鍵と証明書を一元管理することが可能な、DigiCert(デジサート)Secure Software Managerのご提供も可能です。

Secure Software Managerの導入によって、複数の開発担当者やユーザが、随時必要に応じて素早く簡単にツール、アプリケーションやライブラリ等「コード」型のあらゆるソフトウェアに署名することが可能となります。

主な機能
- HSMキーストレージ
- 秘密鍵・証明書、および署名作業を集中管理   
- 社内/部門のセキュリティポリシーを適用
- CI/CDパイプラインとの統合

詳しくはこちらをご覧ください
>>コード署名の保護と自動化

本件に関するお問合せはこちら

───────────────────────────────────
■サービスサイトURL: https://brandkeeper.jp

■会社概要
社名: 株式会社サイバービジョンホスティング
所在地: 神奈川県横浜市港北区新横浜2-15-12 共立新横浜ビル5階
設立: 2009年07月
代表: 代表取締役 古木 一行
事業者番号: 一般第二種電気通信事業者 総務省届出番号 A-21-10690
親会社: 株式会社ソフィアホールディングス(JASDAQ:6942)

■本件に関するお問合せ先:
リスクマネジメントソリューション(RMS)事業部
TEL :045-548-4656
E-MAIL:info@rms.ne.jp, info@brandkeeper.jp
───────────────────────────────────