なぜ Code Signing が必要なのか?

ますます複雑化するIoTサプライチェーン攻撃に対抗するため

攻撃ベクトル(脅威)

  • ファームウェア改ざん:ハッカーが悪意あるバックドアを埋め込み、多数のエンドポイントを制御。
  • 不正な量産:サプライチェーンや生産プロセスが悪用され、市場に無許可のクローン製品が出回る。
  • OTAハイジャック:偽のシステム更新パッケージにより、デバイスが承認されていないソフトウェアをダウンロード。

CodeSign防御ポイント(制御)

  • ソース検証:認可された秘密鍵で署名されたファームウェアや更新パッケージのみ受け入れ。
  • 生産境界:鍵はHSM内に保管され、制御されたAPI経由で署名。漏洩や不正使用のリスクを低減。
  • 完全性チェック:起動時や更新時にデジタル署名を検証し、コードの改ざんを防止。

R&Dコンプライアンス:信頼境界内でのCI/CD

多くの企業では、署名用秘密鍵をCIサーバやエンジニア環境に長期保管しており、「内在するサプライチェーンリスク」を生む可能性があります。
CHANGINGはCI/CDから鍵を除外し、HSM + KMSで集中管理・監査を実施。署名を必須のパイプラインチェックポイント(Policy Gate)に変え、監査可能・追跡可能・ローテーション可能なガバナンスを提供します。

CodeSign × Secure Boot × Root of Trust

ハードウェアから始まる完全な信頼チェーン(Chain of Trust)を構築し、各検証ステップは厳格に署名されたソフトウェアイメージに依存します

CHANGINGは、MCU、SoC、およびエンドポイントデバイス上で、長期にわたって検証・管理可能なソフトウェア信頼基盤の構築を支援します。 デバイス起動時には、Root of Trust(例:Boot ROM)から順にコードを層ごとに検証します。 管理可能なCode Signing機構がない場合、Secure Bootは完全には実現できません。

HSM(ハードウェアセキュリティモジュール) KMS(管理システム)

生産ライン Code Signing アーキテクチャ

「信頼」を生産ラインまで拡張し、サプライチェーンが セキュリティの脆弱点とならないようにします(Factory as a Trust Boundary)

CHANGINGのアーキテクチャは、生産ライン向けの安全な署名をサポートしており、開発段階または最終組み立て段階に応じて展開可能です。 KMSとHSMを通じて鍵を隔離・管理し、私鍵が生産作業中に漏洩することを防ぎます。

  • 鍵は生産ラインに置かない:署名用の私鍵はHSMに保管され、生産ラインデバイスには残りません。
  • 認可API:製造ステーションは認可済みAPI経由でのみ署名リクエストが可能です。
  • 追跡・監査:すべての署名操作は監査可能で、悪意あるファームウェア挿入リスクを低減します。
安全なICプログラミング統合

生産ステーション

APIゲートウェイ

HSM / KMS

分散型生産 × 中央集権的鍵管理 × 完全監査可能

HSM + KMS CI/CD との CodeSign 統合

最大の利点は既存CI/CDへの無痛統合で、CIサーバーからHSMへ鍵を移動し、KMSで集中管理・監査することで、 開発プロセスが自然にコンプライアンスに準拠

なぜCI/CDは重要なリスクポイントなのか?

  • CIサーバー / ランナー / ビルドVMに保存された署名用秘密鍵は、盗まれたりコピーされたり、オフラインで悪用される可能性があります。
  • 「強制ポリシー」がない場合、非承認のブランチや担当者が署名済みの公開可能なイメージを生成する可能性があります。
  • 監査時に、「誰が署名したか」「何に署名したか」「どの鍵を使用したか」「どのバージョンや作業指示に対応しているか」を完全に答えることは困難です。

CHANGINGの解決策:HSMで鍵を保護、KMSでガバナンス管理

HSM:鍵は絶対に外に出さない
秘密鍵はHSM内に留まり、CI/CDは制御されたインターフェースを通じて署名を実行します。
KMS:ポリシーと監査
権限、承認、署名ポリシー、監査ログ、鍵のローテーションを集中管理し、人為的リスクを低減します。
  • 既存CI/CDとの統合:Jenkins / GitLab CI / GitHub Actions / Azure DevOpsなどをAPIやプラグイン経由で統合可能です。
  • CIサーバーから鍵を移動:CIは短期トークンや制御証明書のみを保持し、秘密鍵や長期鍵は一切持ちません。
  • 署名をコンプライアンスゲートに:リリース前にポリシーゲートを強制適用し、未承認のバージョンが公開されるのを防ぎます。

CI/CD Code Signing ガバナンス パイプラインの手順

Industrial / OT 長期ライフサイクル管理

10~20年間稼働する機器に向けたセキュリティ設計

証明書・署名ガバナンス

CLM(証明書ライフサイクル管理)を統合し、更新、失効、鍵のローテーションを管理。長期的な運用サポートと人的リスクの低減を実現します。

CLM 証明書ライフサイクル管理
暗号アジャイル(Crypto-Agility)

アルゴリズムのスムーズなアップグレードをサポートし、PQC(量子耐性暗号)への移行パスを提供。長期的な防御力とコンプライアンスの柔軟性を確保します。

PQC ソリューション
安定性・互換性検証

既存のファームウェアや機器に対して互換性検証戦略を提供。セキュリティアップグレードによる予期せぬ工業システム停止を防ぎ、運用の安定性を維持します。




ユースケース & 事例

さまざまな開発・生産・運用シナリオに対する安全な基盤の提供

DevOps / SecOps

CI/CDを統合し、CIサーバーからHSMに秘密鍵を移動、KMSで管理・監査

安全なOTA更新

更新パッケージに署名、ソース検証および改ざん防止を実装

MCU / SoC 署名

チップベンダーのSecure Boot仕様に準拠

通信・工業機器

IECおよびネットワークセキュリティ要件に対応

互換性 & 統合リスト

対応半導体プラットフォーム
主流のMCU/SoC Secure Boot仕様と署名フォーマットに対応。プロジェクトごとの署名ツールやパッケージングプロセスとも統合可能。
Embedded OS(RTOS / Embedded Linux)のカーネルおよびアプリケーション層でのファームウェア署名と検証に対応。OTAプラットフォームのワークフローと統合可能。 Matterなどのエコシステムでは、Secure OTA / ファームウェアイメージ署名・検証にも対応し、必要に応じてDAC/PKIフレームワークと統合可能。
HSM キー保護

国際的なコンプライアンス & 標準対応

企業がサプライチェーンのセキュリティや製品サイバーセキュリティ要件に対応できるよう支援

標準 / 規制 Code Signing 対応項目 実現目標とメリット
IEC 62443-4-2 ソフトウェアの完全性 & 信頼性 工業制御コンポーネントのソフトウェアソースの検証と完全性を保証し、不正な更新や改ざんリスクを低減。
EU CRA(参照拡張) 安全な開発 / 更新の完全性 監査可能な署名および更新ガバナンスプロセスを構築し、長期保守とサプライチェーンリスク管理を支援。
NIST FIPS 140-3(HSMオプション) 暗号鍵保護 / 鍵管理 適合HSMとガバナンス設計を使用し、鍵保護を強化するとともに監査要件を満たす。
Secure SDLC / サプライチェーンガバナンス(拡張) CI/CD 署名ゲート / リリース追跡 署名をパイプラインの必須ゲートとして統合し、リリースの追跡・監査を可能にして、サプライチェーン固有のリスクを低減。

なぜCHANGINGを選ぶのか?

HSM内で鍵を保護

秘密鍵はHSM内で保持され、外部漏洩や不正使用を防ぎ、鍵の主権と監査性を確保。

API/自動化ガバナンス

高可用APIで既存CI/CDや生産ラインに統合可能。署名をポリシーゲートとして強制し、完全な監査トレイルを保持。

量産・OT現場対応

量産および長期運用に対応した管理設計(監査・ローテーション・失効・互換性検証)で、導入可能かつ持続可能な運用を支援。

デバイスのデジタル信頼のルートを確立

CHANGINGのコンサルティングチームが、現在のR&Dおよび生産ワークフローを評価し、国際標準に準拠したCode Signingガバナンスフレームワーク (HSM / KMS / CLM) を計画、さらにCI/CD統合や実務導入に関するガイドをご提供します

コンサルティングを予約する