開発視点でAWS Signerを考えてみよう！！～コード署名のその先へ～

Slide 1

Slide 1 text

開発視点でAWS Signerを考えてみよう!! ～コード署名のその先へ～ 2025.04.14（月） JAWS-UG 朝会モブエンジニア（@mob_engineer） JAWS-UG朝会 #68

Slide 2

Slide 2 text

LTのねらい・対象者 • LTのねらい • コード署名の重要性について「ざっくり」理解してもらう • AWS Signerを通じて実現できることを「ざっくり」理解してもらう • 開発視点でコード署名の「うれしい」ポイントをざっくり理解してもらう • 対象者 • コード署名についてこれからキャッチアップしていこうと思っている方 • AWS Signerについてこれからキャッチアップしていこうと思っている方 • 開発視点でコード署名のうれしいポイントを知りたいと思っている方 2 JAWS-UG朝会 #68

Slide 3

Slide 3 text

お話しすること・しないこと • お話しすること • コード署名に関する概要 • AWS Signerの概要・Lambdaでの検証 • 開発視点でのうれしいポイント • お話ししないこと • コード署名で用いられている暗号化技術 • ECSでの検証、実務での活用事例 • その他関連すること 3

Slide 4

Slide 4 text

自己紹介 • ペンネーム:モブエンジニア • 所属企業:ソフトハウス企業 • ロール:開発よりインフラエンジニア • AWS歴:1年半（現在は個人で触っている） • 好きなサービス:Amazon Workspaces • JAWS-UG 彩の国埼玉支部運営 • 保有資格: 4 JAWS-UG朝会 #68 プレーリーカード

Slide 5

Slide 5 text

お品書き • 今回登壇したモチベーション • コード署名とは何か • AWS Signerについて • AWS Signerを試してみた • 開発者視点でAWS Signerを考えてみよう 5 JAWS-UG朝会 #68

Slide 6

Slide 6 text

今回登壇したモチベーション 6 JAWS-UG朝会 #68

Slide 7

Slide 7 text

AWSを用いた開発を行うなかで・・・ •Lambdaなどでコードを執筆する中で、「このコードって安全なのだろうか?」といった疑問を持ちはじめました。 7 JAWS-UG朝会 #68

Slide 8

Slide 8 text

安全性を考えてみた • クライアント側・サーバ側については秘密鍵などで暗号化されているから安全そうだ。 • サービス間通信に関してもVPCを通じて保護されているから安全だろう。 • ビジネスの根幹である「ソースコードは改ざんされないような仕組みはあるのか?」が気になりました。 8 JAWS-UG朝会 #68

Slide 9

Slide 9 text

探す中で見つけた一つの解 • ソースコードの改ざん防止として「AWS Signer」というサービスを見つけたました。 • そのうえで、「このサービスは開発視点で大きなインパクトがあるかもしれない」と思い、セッションでお話ししようと思いました。 9 JAWS-UG朝会 #68

Slide 10

Slide 10 text

コード署名とは何か 10 JAWS-UG朝会 #68

Slide 11

Slide 11 text

コード署名（コードサイニング証明書）とは •コードサイニング証明書は、ソフトウェアにデジタル署名を行う電子署名用の証明書です。 •ソフトウェアの配布元を認証し、「なりすましや内容の改ざんなどがされていないこと」を保証し、ユーザの手元に責任をもってソフトウェアを届けることができます。 https://jp.globalsign.com/codesigning/knowledge/ 11 JAWS-UG朝会 #68

Slide 12

Slide 12 text

コード署名イメージ 12 JAWS-UG朝会 #68 https://www.digicert.com/jp/faq/code-signing-trust/what-is-code-signing

Slide 13

Slide 13 text

（例）配送倉庫から自宅まで荷物を配送する配送工場自宅 13 JAWS-UG朝会 #68

Slide 14

Slide 14 text

（例）配送倉庫から自宅まで荷物を配送する配送工場自宅 14 JAWS-UG朝会 #68

Slide 15

Slide 15 text

悪意のある第三者（泥棒）にすり替えられたら配送工場自宅 15 JAWS-UG朝会 #68

Slide 16

Slide 16 text

悪意のある第三者（泥棒）にすり替えられたら配送工場自宅 16 JAWS-UG朝会 #68

Slide 17

Slide 17 text

悪意のある第三者（泥棒）にすり替えられたら配送工場自宅 17 JAWS-UG朝会 #68

Slide 18

Slide 18 text

盾となるような存在（改ざん検知）できれば配送工場自宅 18 JAWS-UG朝会 #68

Slide 19

Slide 19 text

盾となるような存在（改ざん検知）できれば配送工場自宅 19 JAWS-UG朝会 #68

Slide 20

Slide 20 text

コード署名のメリット • 大きく3つあると考えられます。 •なりすまし防止 •改ざんソフトウェアの被害防止 •正規の配布元の証明 20 JAWS-UG朝会 #68

Slide 21

Slide 21 text

コード署名をざっくり言うと・・ •ソースコードを守るゴールキーパーのような存在 21 JAWS-UG朝会 #68

Slide 22

Slide 22 text

AWS Signerについて 22 JAWS-UG朝会 #68

Slide 23

Slide 23 text

AWS Signer（サイナー）とは • 開発者ガイドには次のように示されていました。 https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html 23 JAWS-UG朝会 #68

Slide 24

Slide 24 text

利用可能なリージョン • 米国 (バージニア北部) • 米国 (オハイオ) • 米国 (北カリフォルニア) • 米国 (オレゴン) • アフリカ (ケープタウン) • アジアパシフィック (香港) • アジアパシフィック (ムンバイ) • アジアパシフィック (ソウル) • アジアパシフィック (シンガポール) • アジアパシフィック (シドニー) • アジアパシフィック (東京) • カナダ (中部) • 欧州 (フランクフルト) • 欧州 (アイルランド) • 欧州 (ロンドン) • 欧州 (ミラノ) • 欧州 (パリ) • 欧州 (ストックホルム) • 中東 (バーレーン) • 南米 (サンパウロ) 24 JAWS-UG朝会 #68

Slide 25

Slide 25 text

AWS Signerを利用できるサービス 25 JAWS-UG朝会 #68

Slide 26

Slide 26 text

ちなみに、利用料金は • Signer自体に利用料金はかかりません!! JAWS-UG朝会 #68

Slide 27

Slide 27 text

（余談）AWS Signerのアップデート情報 JAWS-UG朝会 #68

Slide 28

Slide 28 text

AWS Signerを試してみた JAWS-UG朝会 #68

Slide 29

Slide 29 text

とりあえずAWS Signerを触ってみた •多くの方が触るLambdaでAWS Signerの挙動について確認しました。 https://aws.amazon.com/jp/blogs/aws/new-code-signing-a-trust-and-integrity-control-for-aws-lambda/ 29 JAWS-UG朝会 #68

Slide 30

Slide 30 text

構成イメージ •構成イメージとして次のようなイメージです。 30 JAWS-UG朝会 #68

Slide 31

Slide 31 text

AWS Signer署名事前準備 •バージョニング設定されたS3でないと機能しないと示されています。 31 JAWS-UG朝会 #68

Slide 32

Slide 32 text

AWS Signer署名事前準備 •バージョニング設定を有効にしたS3を作成しました。 32 JAWS-UG朝会 #68

Slide 33

Slide 33 text

AWS Signer署名署名設定 •AWS Signerサービス画面へ署名設定ができます。 33 JAWS-UG朝会 #68

Slide 34

Slide 34 text

AWS Signer署名署名設定 •プラットフォーム、名前、期間とタグを選択するシンプルな設定で実装できます。 34 JAWS-UG朝会 #68

Slide 35

Slide 35 text

AWS Signer署名 Lambda設定 •作成した関数ごとにコード署名の設定が必要です。（少しめんどくさい） 35 JAWS-UG朝会 #68

Slide 36

Slide 36 text

AWS Signer署名 Lambda設定 •作成したLambda関数をS3バケットにアップロードしておきましょう。 36 JAWS-UG朝会 #68

Slide 37

Slide 37 text

AWS Signer署名ジョブ設定 •AWS Signer>ジョブ設定からジョブ署名設定を行っておきましょう。 37 JAWS-UG朝会 #68

Slide 38

Slide 38 text

AWS Signer署名設定確認 •送信先S3に署名済みLambda関数が入っていました。 38 JAWS-UG朝会 #68

Slide 39

Slide 39 text

AWS Signer署名設定確認 •AWS Signer側でも署名されていることが確認できました。 39 JAWS-UG朝会 #68

Slide 40

Slide 40 text

開発視点でAWS Signerを考えてみよう 40 JAWS-UG朝会 #68

Slide 41

Slide 41 text

開発視点でよいところ •コード改ざんに対して対策を講じることができる •無料で利用できるため、サードパーティのサービスを利用する必要がない •ジョブ単位で管理できるため、コード署名を Lambdaごとに管理できる 41 JAWS-UG朝会 #68

Slide 42

Slide 42 text

留意しなくてはいけないところ •リージョンをまたいだコード署名は行えない（≒リージョン単位で設定が必要） •手数がそこそこ多いため、CDKなどを用いて運用自動化する必要がある •マネージドサービスのため署名方法を自分で選択できない（≒オリジナル署名ができない） •GitHubなどからコード署名ができない? 42 JAWS-UG朝会 #68

Slide 43

Slide 43 text

まとめ •コード署名を行うことで「コード改ざん」などのリスクに対処することができる •AWS Signerを利用すればLambdaで設定しているコードを保護することができる •手動対応だと手数が多いため、CDK・Step Functionなどのツールを利用する必要がある •多くのプロダクトで利用できる可能性が・・・ 43 JAWS-UG朝会 #68

Slide 44

Slide 44 text

参考サイト • https://speakerdeck.com/atsuw0/aws- signertekotoshu-ming-nituitematometemita • https://speakerdeck.com/ozawa/ecs-x-aws- signer-woshi-tutaimesishu-ming-wakuhurowoshi- sitemita • https://qiita.com/atw0_0w/items/80e04e36d40a baacff50 • https://dev.classmethod.jp/articles/lambda- support-verify-code-sign/ 44 JAWS-UG朝会 #68

Slide 45

Slide 45 text

宣伝させてください!!! • 2025/04/17（木）19:00にJAWS-UG 彩の国埼玉支部キックオフが開催します!! 45 JAWS-UG朝会 #68

Slide 46

Slide 46 text

宣伝させてください!!! • 彩の国埼玉支部 Xアカウントも運用しているのでフォローをお願いいたします!! 46 JAWS-UG朝会 #68

Slide 47

Slide 47 text

47 JAWS-UG朝会 #68