Upgrade to Pro — share decks privately, control downloads, hide ads and more …

開発視点でAWS Signerを考えてみよう!! ~コード署名のその先へ~

Avatar for モブエンジニア(Masaki Okuda) モブエンジニア(Masaki Okuda)
April 13, 2025
Technology
3
420

開発視点でAWS Signerを考えてみよう!! ~コード署名のその先へ~

2025.04.14に登壇したJAWS-UG朝会 #68で登壇した資料です。
connpass:https://jawsug-asa.connpass.com/event/338579/

Avatar for モブエンジニア(Masaki Okuda)

モブエンジニア(Masaki Okuda)

April 13, 2025
Tweet

More Decks by モブエンジニア(Masaki Okuda)

See All by モブエンジニア(Masaki Okuda)
TinyGoをWebブラウザで動かすための方法+アルファ_20260201
Avatar for モブエンジニア(Masaki Okuda) masakiokuda
2
280
CDK対応したAWS DevOps Agentを試そう_20260201
Avatar for モブエンジニア(Masaki Okuda) masakiokuda
1
1.3k
技術選定、下から見るか?横から見るか?
Avatar for モブエンジニア(Masaki Okuda) masakiokuda
0
220
ECS_EKS以外の選択肢_ROSA入門_.pdf
Avatar for モブエンジニア(Masaki Okuda) masakiokuda
1
180
~モブ、まだいけるよな?~2025年をふりかえってみて_20251126
Avatar for モブエンジニア(Masaki Okuda) masakiokuda
0
260
技術者としてのキャリア設計〜会社とのより良い関係づくり〜
Avatar for モブエンジニア(Masaki Okuda) masakiokuda
1
130
相互コミュニケーションの難しさ
Avatar for モブエンジニア(Masaki Okuda) masakiokuda
0
360
登壇したい人集合!!登壇相談室
Avatar for モブエンジニア(Masaki Okuda) masakiokuda
2
95
~キャラ付け考えていますか?~ AI時代だからこそ技術者に求められるセルフブランディングのすゝめ
Avatar for モブエンジニア(Masaki Okuda) masakiokuda
7
580

Other Decks in Technology

See All in Technology
Oracle Database@AWS:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
3
1.7k
[2026-03-07]あの日諦めたスクラムの答えを僕達はまだ探している。〜守ることと、諦めることと、それでも前に進むチームの話〜
Avatar for tosite tosite
0
210
JAWSDAYS2026_A-6_現場SEが語る 回せるセキュリティ運用~設計で可視化、AIで加速する「楽に回る」運用設計のコツ~
Avatar for s-hata shoki_hata
0
3k
Kubernetesにおける推論基盤
Avatar for ry ry
1
330
Claude Code Skills 勉強会 (DevelersIO向けに調整済み) / claude code skills for devio
Avatar for MasahiroKawahara masahirokawahara
1
18k
Evolution of Claude Code & How to use features
Avatar for Oikon oikon48
1
600
生成AIの利用とセキュリティ /gen-ai-and-security
Avatar for Masayoshi Mizutani mizutani
1
1.6k
脳内メモリ、思ったより揮発性だった
Avatar for koutorino koutorino
0
310
Claude Codeが爆速進化してプラグイン追従がつらいので半自動化した話 ver.2
Avatar for ryu rfdnxbro
0
520
us-east-1 に障害が起きた時に、 ap-northeast-1 にどんな影響があるか 説明できるようになろう!
Avatar for Kazuki Miura miu_crescent
PRO
13
4.2k
(Test) ai-meetup slide creation
Avatar for Oikon oikon48
2
330
JAWS DAYS 2026 ExaWizards_20260307
Avatar for ExaWizards exawizards
0
420

Featured

See All Featured
My Coaching Mixtape
Avatar for mlcsv mlcsv
0
70
The Director’s Chair: Orchestrating AI for Truly Effective Learning
Avatar for Mike Taylor tmiket
1
130
Un-Boring Meetings
Avatar for Sebastian Deterding codingconduct
0
220
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
225
10k
Rails Girls Zürich Keynote
Avatar for Gregor Martynus gr2m
96
14k
More Than Pixels: Becoming A User Experience Designer
Avatar for Michelle Schulp Hunt marktimemedia
3
350
Believing is Seeing
Avatar for Spiro Bolos oripsolob
1
80
Redefining SEO in the New Era of Traffic Generation
Avatar for Szymon Słowik szymonslowik
1
240
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
77
5.3k
Building Applications with DynamoDB
Avatar for Matt Wood mza
96
7k
The Illustrated Guide to Node.js - THAT Conference 2024
Avatar for David Neal reverentgeek
1
300
A Soul's Torment
Avatar for Nat Ma seathinner
5
2.4k

Transcript

  1. 開発視点でAWS Signerを 考えてみよう!! ~コード署名のその先へ~ 2025.04.14(月) JAWS-UG 朝会 モブエンジニア(@mob_engineer) JAWS-UG朝会 #68

  2. LTのねらい・対象者 • LTのねらい • コード署名の重要性について「ざっくり」理解してもらう • AWS Signerを通じて実現できることを「ざっくり」理解してもらう • 開発視点でコード署名の「うれしい」ポイントをざっくり理解してもらう

    • 対象者 • コード署名についてこれからキャッチアップしていこうと思っている方 • AWS Signerについてこれからキャッチアップしていこうと思っている方 • 開発視点でコード署名のうれしいポイントを知りたいと思っている方 2 JAWS-UG朝会 #68

  3. お話しすること・しないこと • お話しすること • コード署名に関する概要 • AWS Signerの概要・Lambdaでの検証 • 開発視点でのうれしいポイント

    • お話ししないこと • コード署名で用いられている暗号化技術 • ECSでの検証、実務での活用事例 • その他関連すること 3

  4. 自己紹介 • ペンネーム:モブエンジニア • 所属企業:ソフトハウス企業 • ロール:開発よりインフラエンジニア • AWS歴:1年半(現在は個人で触っている) •

    好きなサービス:Amazon Workspaces • JAWS-UG 彩の国埼玉支部 運営 • 保有資格: 4 JAWS-UG朝会 #68 プレーリーカード

  5. お品書き • 今回登壇したモチベーション • コード署名とは何か • AWS Signerについて • AWS

    Signerを試してみた • 開発者視点でAWS Signerを考えてみよう 5 JAWS-UG朝会 #68

  6. 今回登壇したモチベーション 6 JAWS-UG朝会 #68

  7. AWSを用いた開発を行うなかで・・・ •Lambdaなどでコードを執筆する中で、「このコー ドって安全なのだろうか?」といった疑問を持ちはじ めました。 7 JAWS-UG朝会 #68

  8. 安全性を考えてみた • クライアント側・サーバ側については秘密鍵などで暗号化 されているから安全そうだ。 • サービス間通信に関してもVPCを通じて保護されている から安全だろう。 • ビジネスの根幹である「ソースコードは改ざんされないよう な仕組みはあるのか?」が気になりました。

    8 JAWS-UG朝会 #68

  9. 探す中で見つけた一つの解 • ソースコードの改ざん防止として「AWS Signer」という サービスを見つけたました。 • そのうえで、「このサービスは開発視点で大きなインパクト があるかもしれない」と思い、セッションでお話ししようと思 いました。 9

    JAWS-UG朝会 #68

  10. コード署名とは何か 10 JAWS-UG朝会 #68

  11. コード署名(コードサイニング証明書)とは •コードサイニング証明書は、ソフトウェアにデジタル署 名を行う電子署名用の証明書です。 •ソフトウェアの配布元を認証し、「なりすましや内容 の改ざんなどがされていないこと」を保証し、ユーザの 手元に責任をもってソフトウェアを届けることができま す。 https://jp.globalsign.com/codesigning/knowledge/ 11 JAWS-UG朝会

    #68

  12. コード署名 イメージ 12 JAWS-UG朝会 #68 https://www.digicert.com/jp/faq/code-signing-trust/what-is-code-signing

  13. (例)配送倉庫から自宅まで荷物を配送する 配送工場 自宅 13 JAWS-UG朝会 #68

  14. (例)配送倉庫から自宅まで荷物を配送する 配送工場 自宅 14 JAWS-UG朝会 #68

  15. 悪意のある第三者(泥棒)にすり替えられたら 配送工場 自宅 15 JAWS-UG朝会 #68

  16. 悪意のある第三者(泥棒)にすり替えられたら 配送工場 自宅 16 JAWS-UG朝会 #68

  17. 悪意のある第三者(泥棒)にすり替えられたら 配送工場 自宅 17 JAWS-UG朝会 #68

  18. 盾となるような存在(改ざん検知)できれば 配送工場 自宅 18 JAWS-UG朝会 #68

  19. 盾となるような存在(改ざん検知)できれば 配送工場 自宅 19 JAWS-UG朝会 #68

  20. コード署名のメリット • 大きく3つあると考えられます。 •なりすまし防止 •改ざんソフトウェアの被害防止 •正規の配布元の証明 20 JAWS-UG朝会 #68

  21. コード署名をざっくり言うと・・ •ソースコードを守るゴールキーパー のような存在 21 JAWS-UG朝会 #68

  22. AWS Signerについて 22 JAWS-UG朝会 #68

  23. AWS Signer(サイナー)とは • 開発者ガイドには次のように示されていました。 https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html 23 JAWS-UG朝会 #68

  24. 利用可能なリージョン • 米国 (バージニア北部) • 米国 (オハイオ) • 米国 (北カリフォルニア)

    • 米国 (オレゴン) • アフリカ (ケープタウン) • アジアパシフィック (香港) • アジアパシフィック (ムンバイ) • アジアパシフィック (ソウル) • アジアパシフィック (シンガポール) • アジアパシフィック (シドニー) • アジアパシフィック (東京) • カナダ (中部) • 欧州 (フランクフルト) • 欧州 (アイルランド) • 欧州 (ロンドン) • 欧州 (ミラノ) • 欧州 (パリ) • 欧州 (ストックホルム) • 中東 (バーレーン) • 南米 (サンパウロ) 24 JAWS-UG朝会 #68

  25. AWS Signerを利用できるサービス 25 JAWS-UG朝会 #68

  26. ちなみに、利用料金は • Signer自体に利用料金はかかりません!! JAWS-UG朝会 #68

  27. (余談)AWS Signerのアップデート情報 JAWS-UG朝会 #68

  28. AWS Signerを試してみた JAWS-UG朝会 #68

  29. とりあえずAWS Signerを触ってみた •多くの方が触るLambdaでAWS Signerの挙動 について確認しました。 https://aws.amazon.com/jp/blogs/aws/new-code-signing-a-trust-and-integrity-control-for-aws-lambda/ 29 JAWS-UG朝会 #68

  30. 構成イメージ •構成イメージとして次のようなイメージです。 30 JAWS-UG朝会 #68

  31. AWS Signer署名 事前準備 •バージョニング設定されたS3でないと機能しないと 示されています。 31 JAWS-UG朝会 #68

  32. AWS Signer署名 事前準備 •バージョニング設定を有効にしたS3を作成しました。 32 JAWS-UG朝会 #68

  33. AWS Signer署名 署名設定 •AWS Signerサービス画面へ署名設定ができます。 33 JAWS-UG朝会 #68

  34. AWS Signer署名 署名設定 •プラットフォーム、名前、期間とタグを選択するシンプ ルな設定で実装できます。 34 JAWS-UG朝会 #68

  35. AWS Signer署名 Lambda設定 •作成した関数ごとにコード署名の設定が必要です。 (少しめんどくさい) 35 JAWS-UG朝会 #68

  36. AWS Signer署名 Lambda設定 •作成したLambda関数をS3バケットにアップロード しておきましょう。 36 JAWS-UG朝会 #68

  37. AWS Signer署名 ジョブ設定 •AWS Signer>ジョブ設定からジョブ署名設定を 行っておきましょう。 37 JAWS-UG朝会 #68

  38. AWS Signer署名 設定確認 •送信先S3に署名済みLambda関数が入っていま した。 38 JAWS-UG朝会 #68

  39. AWS Signer署名 設定確認 •AWS Signer側でも署名されていることが確認で きました。 39 JAWS-UG朝会 #68

  40. 開発視点でAWS Signerを 考えてみよう 40 JAWS-UG朝会 #68

  41. 開発視点でよいところ •コード改ざんに対して対策を講じることができる •無料で利用できるため、サードパーティのサービスを 利用する必要がない •ジョブ単位で管理できるため、コード署名を Lambdaごとに管理できる 41 JAWS-UG朝会 #68

  42. 留意しなくてはいけないところ •リージョンをまたいだコード署名は行えない(≒リー ジョン単位で設定が必要) •手数がそこそこ多いため、CDKなどを用いて運用自 動化する必要がある •マネージドサービスのため署名方法を自分で選択で きない(≒オリジナル署名ができない) •GitHubなどからコード署名ができない? 42 JAWS-UG朝会

    #68

  43. まとめ •コード署名を行うことで「コード改ざん」などのリスクに 対処することができる •AWS Signerを利用すればLambdaで設定して いるコードを保護することができる •手動対応だと手数が多いため、CDK・Step Functionなどのツールを利用する必要がある •多くのプロダクトで利用できる可能性が・・・ 43

    JAWS-UG朝会 #68

  44. 参考サイト • https://speakerdeck.com/atsuw0/aws- signertekotoshu-ming-nituitematometemita • https://speakerdeck.com/ozawa/ecs-x-aws- signer-woshi-tutaimesishu-ming-wakuhurowoshi- sitemita • https://qiita.com/atw0_0w/items/80e04e36d40a

    baacff50 • https://dev.classmethod.jp/articles/lambda- support-verify-code-sign/ 44 JAWS-UG朝会 #68

  45. 宣伝させてください!!! • 2025/04/17(木)19:00にJAWS-UG 彩の国 埼玉支部キックオフが開催します!! 45 JAWS-UG朝会 #68

  46. 宣伝させてください!!! • 彩の国埼玉支部 Xアカウントも運用しているのでフォ ローをお願いいたします!! 46 JAWS-UG朝会 #68

  47. 47 JAWS-UG朝会 #68