コード署名

コード署名とは？

コード署名とは、Docker イメージのようなソフトウェア成果物に暗号学的署名を適用し、その完全性と真正性を検証するプロセスです。

イメージに署名することで、署名後に改ざんされていないこと、そして信頼できるソースから発行されたものであることを保証できます。

Docker Hardened Images（DHI）のコンテキストでは、コード署名は Cosign  を使って実現されます。

Cosign は Sigstore プロジェクトによって開発されたツールで、コンテナイメージに対して安全かつ検証可能な署名を可能にし、ソフトウェアサプライチェーンにおける信頼性とセキュリティを強化します。

コード署名が重要な理由

コード署名は、現代のソフトウェア開発やサイバーセキュリティにおいて極めて重要な役割を果たします:

• 真正性（Authenticity）: イメージが信頼できるソースによって作成されたことを検証します。

• 完全性（Integrity）: 署名後にイメージが改ざんされていないことを保証します。

• コンプライアンス（Compliance）: 規制や組織のセキュリティ要件を満たす支援となります。

Docker Hardened Image のコード署名

すべての DHI は Cosign を用いて暗号的に署名されており、イメージが改ざんされていないこと、そして信頼できるソースに由来することを保証します。

なぜ自分のイメージにも署名すべきなのか？

Docker Hardened Images は、Docker によって署名され、起源と完全性が保証されています。

しかし、DHI をベースに拡張したアプリケーションイメージや独自に構築したイメージを利用する場合は、自分自身のイメージにも署名することが推奨されます。

自分のイメージに署名することで、以下を実現できます:

• そのイメージが自分のチームやパイプラインでビルドされたことを証明できる

• push 後にビルドが改ざんされていないことを保証できる

• SLSA のようなソフトウェアサプライチェーンフレームワークへの準拠を支援できる

• デプロイメントワークフローにおけるイメージ検証を有効化できる

これは特に、CI/CD 環境で頻繁にイメージをビルド・push する場合や、イメージのプロビナンス（由来）を監査可能にする必要がある場面で重要です。

コード署名の確認と利用方法

署名の確認

Docker Hardened Image が署名され信頼できることを確認するには、Docker Scout または Cosign を使用できます。

イメージに添付されている署名メタデータを含むすべてのアテステーションを一覧表示するには、次のコマンドを実行します:

$ docker scout attest list <image-name>:<tag> --platform <platform>

特定の署名付きアテステーション（例：SBOM、VEX、プロビナンス）を検証するには:

$ docker scout attest get \
  --predicate-type <predicate-uri> \
  --verify \
  <image-name>:<tag> --platform <platform>

例:

$ docker scout attest get \
  --predicate-type https://openvex.dev/ns/v0.2.0 \
  --verify \
  docs/dhi-python:3.13 --platform linux/amd64

署名が有効であれば、Docker Scout は署名を確認し、署名ペイロードとともに、そのイメージを検証するための対応する Cosign コマンドを表示します。

イメージの署名

イメージに署名するには、Cosign  を使用します。<image-name>:<tag> を対象のイメージ名とタグに置き換えてください。

$ cosign sign <image-name>:<tag>

このコマンドを実行すると、OIDC プロバイダ（GitHub、Google、Microsoft など）による認証が求められます。

認証が成功すると、Cosign は短期間有効な証明書を生成し、イメージに署名します。

署名は透過的ログに保存され、レジストリ内のイメージと関連付けられます。