キーパー・セキュリティ、ソフトウェアサプライチェーン攻撃からの保護を目的としたオープンソースプロジェクトを発表

  • Keeper Secrets Managerは、SSHキーをKeeperボルトで保護することでgit commitへの安全な署名を可能に

日本・東京、20231031 – パスワード、特権アクセス、シークレット、リモート接続の保護に向けてゼロトラストおよびゼロ知識アーキテクチャを活用したクラウドベースのサイバーセキュリティソフトウェアを提供するKeeper Security APAC株式会社(アジアパシフィック本社:東京、CEO・共同創業者:Darren Guccione、以下「キーパー・セキュリティ」)は、分散型バージョン管理システムのgitを利用するソフトウェア開発企業やDevOpsが、Keeperボルトを介してgit commitに簡単かつ安全な署名を可能とするオープンソースプロジェクトを発表しました。キーパー・セキュリティは、さまざまなインフラ機密の保護に向けたKeeper Secrets Manager(KSM)を提供しており、ユーザーはKSMを利用しKeeperボルトに保存したSecure Shell(SSH)キーを使用してcommitにデジタル署名することで、コードの信頼性を強化できます。

gitはソフトウェアプロジェクトの変更を追跡するバージョン管理システムです。git commitは特定の時点での変更のスナップショットであり、変更内容を説明する短いメッセージが付けられます。このたび、キーパー・セキュリティと、サイバーセキュリティ分野に特化した米国のシステムインテグレーターであるThe Migus Group社が協力し、ユーザーのKeeperボルトに保存されているSSHキーを使用してgit commitに署名するオープンソースソリューションを作成しました。これにより、開発者は安全で暗号化されたSSHキーのリポジトリを利用できるため、ディスク上へのSSHキーの保存を習慣化する必要がなくなり、セキュリティの強化とDevOpsワークフローの効率化が実現します。

近年、ソフトウェアサプライチェーン攻撃の増加によって、ソフトウェアサプライチェーン周辺のセキュリティに対する重要性が急速に高まっています。git commitへの署名は、開発者がコードリリースの信頼性と整合性を確かなものにするために推奨されるベストプラクティスです。開発者がSSHキーを使用してコミットに署名すると、作成者であることを証明する暗号化された証明書が提供されます。この証明書は、ソフトウェアが正当なソースからのものであり、署名後に変更されていないことをユーザーに保証することで、サプライチェーンの安全性を確保します。また、デジタル署名をソフトウェア部品表(SBOM)に入力することで、コード署名のステータスに応じて、SBOM内の項目が信頼できるものであることを示すことも可能になります。

キーパー・セキュリティのCTO兼共同創業者であるCraig Lureyは、「SSHキーをはじめとする認証資格情報をKeeperボルトに保存できることで、セキュリティ上の保護レイヤーが追加されることになり、使いやすさも向上します。今回のプロジェクトによって、開発者は暗号デジタル署名と透過的なログによってソフトウェアコードを検証でき、これまで複雑だったプロセスが簡素化されます。ソフトウェアサプライチェーンは、将来的にすべてのコードに署名が使用されることで、唯一の信頼できる情報源を持つこととなり、サプライチェーン攻撃の低減化を図ることができます」と話しています。

The Migus Group社の創業者兼CEOであるAdam Migus氏は、「当社のお客様は、サプライチェーン攻撃から身を守るための支援を求めており、当社では既にキーパー・セキュリティのソリューションを利用して取り組みを行っていました。そこで、私たちはキーパー・セキュリティと連携してgit commit署名プロセスをさらに安全に、さらに容易にすることが、私たちやキーパー・セキュリティ、そしてお客様にとっても有益になると考えました。これによって当社のお客様は、Keeperボルトに保存されたキーを使用してシームレスにgit commitに署名できるようになりました。今後ますますコミュニティが拡大することで、一元的なキー管理の利点を活用した安全なgit commit署名が進展するものと期待しています」と話しています。

git commitに署名するためのSSHキーは、APIキー、データベースパスワード、SSHキー、証明書、あらゆる種類の機密データなど、インフラのシークレットを保護可能な、キーパー・セキュリティが提供するクラウドベースのフルマネージド型ゼロ知識プラットフォームであるKSMで保護されます。KSMは、ソースコードや構成ファイル、CI/CDシステムからハードコーディングされた認証資格情報を削除することで、シークレット情報が無秩序・無計画なまま拡大するスプロール化を排除します。このITフレンドリーなクラウドベースのフルマネージド型ソリューションは、欧州の大手アナリスト企業であるKuppingerCole社が主催する、2023 KuppingerCole Leadership Compass for Secrets Managementにおいて総合リーダーに選ばれました。ゼロ知識セキュリティアーキテクチャを活用したKSMはWindows、MacOS、Linuxに対応しており、ISO 27001およびSOC 2への準拠、FedRAMPおよびStateRAMP認証、その他多数の認証を取得した、安全性の高いソリューションです。

キーパー・セキュリティとThe Migus Group社の連携は、オープンソースコミュニティにセキュリティと可視性の向上をもたらす、政府や産業界の取り組みを支援するものです。暗号化デジタル署名の提供が容易になることで、開発者は使用中のソフトウェアが主張通りのものであることを検証でき、開発者とエンドユーザー双方のセキュリティ強化につながります。

KSMを利用したgit commitへの署名については、ウェブサイトをご参照ください。