日本・東京、2023年10月31日 - パスワード、特権アクセス、シークレット、リモート接続の保護に向けてゼロトラストおよびゼロ知識アーキテクチャを活用したクラウドベースのサイバーセキュリティソフトウェアを提供するKeeper Security APAC株式会社は、分散型バージョン管理システムのgitを利用するソフトウェア開発企業やDevOpsが、Keeperボルトを介してgit commitに簡単かつ安全な署名を可能とするオープンソースプロジェクトを発表しました。キーパー・セキュリティは、さまざまなインフラ機密の保護に向けたKeeper Secrets Manager(KSM)を提供しており、ユーザーはKSMを利用しKeeperボルトに保存したSecure Shell(SSH)キーを使用してcommitにデジタル署名することで、コードの信頼性を強化できます。
日本・東京、2023年10月31日 - パスワード、特権アクセス、シークレット、リモート接続の保護に向けてゼロトラストおよびゼロ知識アーキテクチャを活用したクラウドベースのサイバーセキュリティソフトウェアを提供するKeeper Security APAC株式会社(アジアパシフィック本社:東京、CEO・共同創業者:Darren Guccione、以下「キーパー・セキュリティ」)は、分散型バージョン管理システムのgitを利用するソフトウェア開発企業やDevOpsが、Keeperボルトを介してgit commitに簡単かつ安全な署名を可能とするオープンソースプロジェクトを発表しました。キーパー・セキュリティは、さまざまなインフラ機密の保護に向けたKeeper Secrets Manager(KSM)を提供しており、ユーザーはKSMを利用しKeeperボルトに保存したSecure Shell(SSH)キーを使用してcommitにデジタル署名することで、コードの信頼性を強化できます。
gitはソフトウェアプロジェクトの変更を追跡するバージョン管理システムです。git commitは特定の時点での変更のスナップショットであり、変更内容を説明する短いメッセージが付けられます。このたび、キーパー・セキュリティと、サイバーセキュリティ分野に特化した米国のシステムインテグレーターであるThe Migus Group社( https://migusgroup.com/ )が協力し、ユーザーのKeeperボルトに保存されているSSHキーを使用してgit commitに署名するオープンソースソリューションを作成しました。これにより、開発者は安全で暗号化されたSSHキーのリポジトリを利用できるため、ディスク上へのSSHキーの保存を習慣化する必要がなくなり、セキュリティの強化とDevOpsワークフローの効率化が実現します。
近年、ソフトウェアサプライチェーン攻撃の増加によって、ソフトウェアサプライチェーン周辺のセキュリティに対する重要性が急速に高まっています。git commitへの署名は、開発者がコードリリースの信頼性と整合性を確かなものにするために推奨されるベストプラクティスです。開発者がSSHキーを使用してコミットに署名すると、作成者であることを証明する暗号化された証明書が提供されます。この証明書は、ソフトウェアが正当なソースからのものであり、署名後に変更されていないことをユーザーに保証することで、サプライチェーンの安全性を確保します。また、デジタル署名をソフトウェア部品表(SBOM)に入力することで、コード署名のステータスに応じて、SBOM内の項目が信頼できるものであることを示すことも可能になります。
キーパー・セキュリティのCTO兼共同創業者であるCraig Lureyは、「SSHキーをはじめとする認証資格情報をKeeperボルトに保存できることで、セキュリティ上の保護レイヤーが追加されることになり、使いやすさも向上します。今回のプロジェクトによって、開発者は暗号デジタル署名と透過的なログによってソフトウェアコードを検証でき、これまで複雑だったプロセスが簡素化されます。ソフトウェアサプライチェーンは、将来的にすべてのコードに署名が使用されることで、唯一の信頼できる情報源を持つこととなり、サプライチェーン攻撃の低減化を図ることができます」と話しています。
The Migus Group社の創業者兼CEOであるAdam Migus氏は、「当社のお客様は、サプライチェーン攻撃から身を守るための支援を求めており、当社では既にキーパー・セキュリティのソリューションを利用して取り組みを行っていました。そこで、私たちはキーパー・セキュリティと連携してgit commit署名プロセスをさらに安全に、さらに容易にすることが、私たちやキーパー・セキュリティ、そしてお客様にとっても有益になると考えました。これによって当社のお客様は、Keeperボルトに保存されたキーを使用してシームレスにgit commitに署名できるようになりました。今後ますますコミュニティが拡大することで、一元的なキー管理の利点を活用した安全なgit commit署名が進展するものと期待しています」と話しています。
git commitに署名するためのSSHキーは、APIキー、データベースパスワード、SSHキー、証明書、あらゆる種類の機密データなど、インフラのシークレットを保護可能な、キーパー・セキュリティが提供するクラウドベースのフルマネージド型ゼロ知識プラットフォームであるKSMで保護されます。KSMは、ソースコードや構成ファイル、CI/CDシステムからハードコーディングされた認証資格情報を削除することで、シークレット情報が無秩序・無計画なまま拡大するスプロール化を排除します。このITフレンドリーなクラウドベースのフルマネージド型ソリューションは、欧州の大手アナリスト企業であるKuppingerCole社が主催する、2023 KuppingerCole Leadership Compass for Secrets Management( https://www.keepersecurity.com/blog/2023/04/25/keeper-secrets-manager-named-overall-leader-in-kuppingercoles-2023-report/#:~:text=KuppingerCole%20Analysts%20AG%2C%20a%20global,strength%2C%20market%20presence%20and%20innovation. )において総合リーダーに選ばれました。ゼロ知識セキュリティアーキテクチャを活用したKSMはWindows、MacOS、Linuxに対応しており、ISO 27001およびSOC 2への準拠、FedRAMPおよびStateRAMP認証、その他多数の認証を取得した、安全性の高いソリューションです。
キーパー・セキュリティとThe Migus Group社の連携は、オープンソースコミュニティにセキュリティと可視性の向上をもたらす、政府や産業界の取り組み( https://www.cisa.gov/sites/default/files/2023-10/Fact_Sheet_Improving_OSS_in_OT_ICS_508c.pdf )を支援するものです。暗号化デジタル署名の提供が容易になることで、開発者は使用中のソフトウェアが主張通りのものであることを検証でき、開発者とエンドユーザー双方のセキュリティ強化につながります。
KSMを利用したgit commitへの署名については、ウェブサイト( https://docs.keeper.io/secrets-manager/secrets-manager/integrations/git-sign-commits-with-ssh )をご参照ください。
-
Keeper Securityについて
キーパー・セキュリティは、次世代の特権アクセス管理によって世界中の組織におけるサイバーセキュリティに変革をもたらしています。キーパー・セキュリティのゼロトラストおよびゼロ知識セキュリティを基盤として構築されているサイバーセキュリティプラットフォームは、FedRAMPおよびStateRAMPの認定、FIPS 140-2検証、さらにSOC 2およびISO 27001の認定を取得しています。キーパー・セキュリティのソリューションは数分でデプロイでき、あらゆるテクノロジースタックとシームレスに統合されるため、データ漏洩の防止やヘルプデスクのコスト削減を実現し、コンプライアンス遵守の徹底にも貢献します。キーパー・セキュリティは、クラス最高のパスワード管理、機密管理、特権アクセス、セキュアリモートアクセス、および暗号化メッセージを提供し、世界中の個人および法人ユーザーから信頼を集めるリーディング企業です。詳細については、KeeperSecurity.jp( https://keepersecurity.jp/ )をご覧ください。
配信元企業:Keeper Security APAC株式会社
コメント