署名ログでたどるサプライチェーン Microsoftが署名透明化サービスを提供開始：署名の「見える化」で改ざん検知と監査性を強化

Microsoftは、ソフトウェアの署名を改ざん困難な台帳に記録する「Signing Transparency」のプレビュー版を提供すると発表した。ゼロトラストの考え方に基づいており、署名鍵の悪用や不正更新の早期検知、監査対応の効率化を目的としている。

[TechTargetジャパン]

　2025年11月3日（米国時間）、MicrosoftはAzure公式ブログで、ソフトウェア供給網（ソフトウェアサプライチェーン）のリスクに対応するサービス「Signing Transparency」のプレビュー版を提供することを発表した。ゼロトラストの考え方に基づき、署名の透明性と検証性を補強することで従来のコード署名だけでは見逃してしまう攻撃に対処するのが狙いだ。

第三者でも「改ざんされた形跡がないか」を確認可能に

併せて読みたいお薦め記事

SBOMとフォーマットを正しく理解する

• 「SWID Tag」とは？　CycloneDX、SPDXとは何が違う？
• ソフトウェア部品表「SBOM」のフォーマットとは？　国際標準「SPDX」の中身

　Signing Transparencyは、ソフトウェアやコンテナ、ファームウェアなどに対する署名の履歴を、公開された追記専用（append-only）の台帳に記録し、改ざんされた形跡がないかどうかを第三者が独立して確認できるようにする仕組みだ。台帳は、複数の署名データを階層構造でまとめてハッシュ値で管理する「Merkleツリー」で構成されている。

　各署名にはMicrosoftが「カウンター署名」（「この署名イベントが正しく台帳に記録された」という事実を第三者として証明する署名）を付与する。このカウンター署名と、署名が台帳のどこに記録されているかを示す「包含証明」をひとまとめにした「レシート」が発行される。企業はこのレシートを監査証跡として保存しておけば、ソフトウェアがどこから配布されたかに関係なく、自社の環境で署名の正当性を検証できる。

サービスの概要図。Signing Transparencyが署名済みソフトウェアを受け取り、透明性ログに記録して暗号学的なレシートを発行し、そのレシートを使って後から署名の正当性と改ざんの有無を検証できるようにする（提供：Microsoft）

　署名データの「封筒」に当たるフォーマットには、IoT（モノのインターネット）やWebで使われる署名付きメッセージの標準仕様「COSE」（RFC 9052）が用いられており、サプライチェーンの透明性と信頼性を高めることを目的としたIETFの標準化作業「SCITT」（Supply Chain Integrity, Transparency, and Trust）のドラフトに準拠している。

　台帳の基盤には、改ざん検知機能を備えた台帳型ストレージサービス「Azure Confidential Ledger」と、改ざん耐性のある分散台帳アプリケーションを構築するためのフレームワーク「Confidential Consortium Framework」（CCF）を採用している。これによって、署名鍵の流出やビルド環境への侵入が発生した場合でも、不正な署名や更新は必ず台帳に痕跡として残る。このため「攻撃を後から隠蔽（いんぺい）することは難しくなる」とMicrosoftは説明している。

編集者の一言解説

　署名があるかどうかだけではなく、「いつ、誰が、何に署名したのか」を第三者が後から確かめられるようにする点は、ソフトウェアサプライチェーン対策において重要な役割を果たす。特に、マルチベンダー環境や委託開発が当たり前になっている現在、こうした署名の履歴情報をレシートとして保管できることが、監査や事故調査、インシデント対応にかかる負荷を下げる助けになる。