パートナーと共にデジタルトラストで現実の課題を解決します
世界中があらゆるビジネスプロセス、ワークフロー、機能のデジタル化に向かう、あるいはそう強制されている今、インターネット初期からの教訓が成功の予兆になる可能性を秘めています。デジタルトラストが戦略の成否を決める時代です。間違ったソリューションは企業の 3 年後を危うくしかねません。
世界のIT・情報セキュリティリーダーたちが、デジタル技術の信頼性を欠いたセキュリティはセキュリティではないと考えている理由とは?
共著者:Jeremy Rowley
デジタル証明書を発行する公的に信頼された認証局(CA)は、認証局/ブラウザ(CA/B)フォーラムのような団体によるコンプライアンス要件に対して、コミュニティグループやルートプログラムによって評価されます。
時には、人為的なミスやコードのバグが原因で、発行された証明書がルートストア運営者の厳格なコンプライアンス要件を満たさないことがあります。このような場合、CAは何が起こったかについて透明性を提供し、証明書を失効させ、コミュニティが過ちから学ぶのを助けることが期待されています。
証明書の失効スケジュールは非常に短く、問題の性質に応じて24時間または5日間と決まっています。最近Entrustが約25,000のEV証明書の失効を遅らせたように、CAがタイムリーに被害を軽減できなかった場合、その影響は甚大なものになります。
組織にとって、誤発行された証明書の不適切な処理は、機能停止、CA のステータスの不明確さ、顧客の信頼の喪失につながります。また、誤発行された証明書の失効と交換を怠った CA にとっては、ブラウザがその CA の信用を失墜させることになりかねません。
ソフトウェアにはバグがつきものであるため、誤発行は非常に洗練されたソフトウェア開発ライフサイクルであっても発生します。誤発行が発生した場合、CAの主な目標は、どこでミスが発生したかを突き止め、二度と発生しないようにすることです。
2023 年、あるグローバルな機器メーカー向けに発行した 300 の証明書が、CA/B Forum の Baseline Requirements に記載されている厳格なプロファイル要件に準拠していないことが判明しました。この要件に従って、私たちは5日以内に証明書を失効させ、すべてのCAが公に信頼されるエンティティであることの一部として定められた標準に準拠する必要がありました。
この問題について顧客と話し合った結果、5日以内に証明書を失効させると、重要なシステムに大きな障害が発生し、消費者の安全性に問題が生じる可能性があることが明らかになりました。顧客と協力して、誤発行された証明書を置き換えるには1カ月が必要だと判断しました。
CA/Bフォーラムのルールに従わないことは実行可能な選択肢ではありませんでしたが、適切に発行された代替品がないまま証明書を失効させることもできませんでした。そこで私たちはコミュニティと相談し、24時間体制で顧客と協力し、新しい証明書を期限内に稼働させました。
この経験は関係者全員にとってストレスの多いものでしたが、どこが問題であったかを振り返ることで、誤発行された証明書が継続的な問題にならないようにするための対策を講じることができました。
私たちがお客さまにお伝えした次のようなアドバイスは、証明書に依存してセキュアな状態を維持するすべての組織にお勧めできるものです。
CA/Bフォーラムのルールは、パブリック証明書にのみ適用されます。プライベートで信頼された証明書には5日間の失効期限はありません。私たちのお客様では、パブリック証明書を必要としないもの(この場合はコネクテッドデバイス)にパブリック証明書を利用していたため、不必要な問題が発生する可能性がありました。
証明書の使用状況を確認し、適切な場合には、パブリック証明書をプライベート証明書に変更することで、ビジネスを阻害する失効リスクを排除してください。
以下は、プライベート証明書の最も一般的な使用例です。
また、DigiCert の無料オープンソース証明書リンター(解析ツール)である PKILint を使用して、証明書の自動コンプライアンスチェックを実行することをお勧めします。
多くの企業は、いまだに表計算ソフト(スプレッドシート)を使用して手作業で証明書を管理しています。証明書ライフサイクル管理(CLM)ソリューションを導入すれば、CA/Bフォーラムの5日間の期限を守ることは問題になりません。しかし、そのようなソリューションがなければ、誤って発行された証明書を置き換えるには、手作業による大変なプロセスが必要になり、完了までに数週間かかることもあります。
組織がまだ包括的な CLM を使用していない場合は、下記のような機能をもつDigiCert Trust Lifecycle Manager などの導入をご検討ください。
デジタルトラストは抽象的な概念ではなく、客観的で測定可能なものです。組織のウェブサイトやデジタル製品は、信頼できる証明書によって保護されているか、そうでないかです。CAは、CA/Bフォーラムのようなグループによって設定された標準に準拠しているか、そうでないかです。
CAが信頼を生み出すコミュニティの一員となることに同意した場合、その信頼性は透明性とルールを守る意思によって評価されます。発行エラーが発生したからといって、自動的に不信につながるわけではありません。最も重要なのは、問題の理由、CAがその状況から何を学ぶか、そしてCAがどのように問題を処理するかです。
証明書のライフサイクル管理、デジタルトラスト、またはDigiCertのデジタルトラストソリューションなどのトピックについてもっと知りたい場合はぜひDigiCertブログをブックマークしてみてください。
© 2023 DigiCert, Inc. All rights reserved.
リーガルリポジトリ Webtrust 監査 利用条件 プライバシーポリシー アクセシビリティ Cookie 設定 プライバシーリクエストフォーム