Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 870

プロベナンスアテステーション

プロベナンスアテステーション とは何ですか?

プロベナンスアテステーションソフトウェア成果物がどのように作られたか(ソース・ビルドシステム・パラメータ・依存関係)を、署名付きかつ機械可読な形で記述する宣言で、利用者がその出所を信頼できるようにするもの。

プロベナンスアテステーションは、「この成果物はどこから来たのか」という問いに、慣習的な信頼ではなく暗号学的な証拠で答えるものです。標準フォーマットには in-toto アテステーションや SLSA Provenance v1 があり、ソースリポジトリのコミット、ビルドプラットフォーム、レシピ、マテリアル、タイムスタンプを記録し、ビルダーが署名します。利用側は、信頼するビルダーの ID、許容するソースリポジトリ、想定するワークフロー、SLSA レベルなどのポリシーに照らしてアテステーションを検証します。Sigstore Cosign、GitHub Actions、Tekton Chains、GitLab CI、SLSA 準拠のビルド基盤などは、アテステーションを自動生成できます。プロベナンスは、改ざんされたバイナリの検知や、米国大統領令 14028、EU の Cyber Resilience Act などの規制要件を満たすうえで重要な統制です。

  1. 01

    GitHub 再利用可能ワークフローが生成し、デプロイ時に検証する SLSA Provenance v1。

  2. 02

    Kyverno ポリシーで、信頼する Builder のプロベナンスが付いたコンテナイメージのみを許可する設定。

よくある質問

プロベナンスアテステーション とは何ですか?

ソフトウェア成果物がどのように作られたか(ソース・ビルドシステム・パラメータ・依存関係)を、署名付きかつ機械可読な形で記述する宣言で、利用者がその出所を信頼できるようにするもの。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。

プロベナンスアテステーション とはどういう意味ですか?

ソフトウェア成果物がどのように作られたか(ソース・ビルドシステム・パラメータ・依存関係)を、署名付きかつ機械可読な形で記述する宣言で、利用者がその出所を信頼できるようにするもの。

プロベナンスアテステーション はどのように機能しますか?

プロベナンスアテステーションは、「この成果物はどこから来たのか」という問いに、慣習的な信頼ではなく暗号学的な証拠で答えるものです。標準フォーマットには in-toto アテステーションや SLSA Provenance v1 があり、ソースリポジトリのコミット、ビルドプラットフォーム、レシピ、マテリアル、タイムスタンプを記録し、ビルダーが署名します。利用側は、信頼するビルダーの ID、許容するソースリポジトリ、想定するワークフロー、SLSA レベルなどのポリシーに照らしてアテステーションを検証します。Sigstore Cosign、GitHub Actions、Tekton Chains、GitLab CI、SLSA 準拠のビルド基盤などは、アテステーションを自動生成できます。プロベナンスは、改ざんされたバイナリの検知や、米国大統領令 14028、EU の Cyber Resilience Act などの規制要件を満たすうえで重要な統制です。

プロベナンスアテステーション からどのように防御しますか?

プロベナンスアテステーション に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

プロベナンスアテステーション の別名は何ですか?

一般的な別名: SLSA プロベナンス, ビルドプロベナンス。

関連用語

関連項目