GitHubは、同社のリポジトリに不正アクセスがあったことを公表した。この問題から浮かび上がるのが、「マシンID管理」の重要性だ。なぜ重要なのかを、専門家の見解に沿って解説する。
ソースコード共有サービス「GitHub」を運営するGitHub社は2023年1月30日(現地時間)、同社のリポジトリ(保管場所)が漏えいした可能性があるとして緊急の警告を発した。
「今回の漏えいはマシンID(コンピュータを特定する識別子)管理の重要性を示すものだ」。マシンID管理ベンダーVenafiでセキュリティ戦略および脅威インテリジェンス担当バイスプレジデントを務めるケビン・ボセック氏は、そう強調する。これはGitHubの利用に限った話ではない。
漏えいしたのは、デジタル証明書の認証局を運営するDigiCertが発行する「コードサイニング証明書」2点と、Appleの「Developer ID証明書」1点だ。コードサイニング証明書は、ソースコードに付随する署名が信頼できることを証明し、Developer ID証明書は、ベンダーがAppleからアプリケーションを公認してもらうために用いる。
攻撃者はデジタル証明書を悪用し、悪意のあるコンテンツにGitHubの公式との認証情報を署名し、配布できる。「デジタル証明書は、他のソフトウェア開発者に対するサプライチェーン攻撃や、その他の未知の攻撃を可能にする強力な武器となる」とボセック氏は警告する。
ボセック氏は、マシンID管理の重要性を訴える。「コードサイニング証明書にひも付いたマシンIDを常に監視し、制御可能な状態に保つことは難しい」と同氏は言い、漏えいしたマシンIDを迅速に見つけて再発行することは「手動ではほぼ不可能だ」と続ける。
セキュリティチームは、今回のような攻撃からマシンIDを保護するために、マシンID管理を自動化するコントロールプレーン(制御機能)を導入する必要がある。
自動管理ツールを活用することで、セキュリティチームはマシンIDを攻撃から保護し、マシンIDの定期的な変更や失効を手動で実施せずに済む。これにより、開発チームの生産性低下や攻撃者による侵害を防ぐことが可能だ。
証明書管理ベンダーSectigoのシニアバイスプレジデントを務めるジェイソン・ソロコ氏は、「失効したものを含め、デジタル証明書のライフサイクル管理(CLM)を自動化することが重要だ」と話す。企業の経営陣には、「デジタル証明書を適切に管理する」という視点がしばしば欠けている。デジタル証明書を手動で管理、設定している場合、ヒューマンエラーにより、ビジネスの停止やサイバー攻撃に対する脆弱(ぜいじゃく)性の露呈を招いてしまう可能性がある。
「CLM管理システムは、デジタル証明書を更新もしくは無効化して、自社の収益を確保し、評判を守る助けになる」(ソロコ氏)
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
在任期間は短くても将来は明るい? データが示すCMO職のさらなる出世の可能性
CMOの約3分の2はポジションを離れた後、社内で昇進するか、他のブランドで同等またはより...
「押し付けがましい広告」が配信されたとき、消費者はどう感じるか
消費者は個人データに依存した広告よりも、記事などのコンテンツの文脈に沿っている広告...
SNS発信のベストな時間帯(2025年版) InstagramとFacebook、TikTokでどう違う?
Hootsuiteが2025年版のソーシャルメディア最適投稿時間を公開。各プラットフォームごとの...