検出と自動化を通じて証明書を全体的に制御する方法

TLS/SSL証明書は、コンプライアンスを維持し、脆弱性から安全を保ち、有効期限切れを避けるために、常に監視する必要があります。しかし、ほとんどの組織は、組織内にある証明書の状況を全てリアルタイムで把握していません。ネットワークに可視性がなければ、不正な証明書や更新されていない証明書を制御することはできません。可視化することは単に期限切れのリマインダーを設定するだけではなく、コンプライアンスを維持し、追跡と監査を簡素化することにもつながります。

可視化ができれば、次にに重要なのは、証明書を迅速かつ容易に置き換え、そして失効させる機能です。可視化と制御ができなければ、ネットワークの暗号化に穴がないことを自信を持って確認することができず、ネットワークが侵害されたり、コンプライアンス監査で不合格になったりするリスクがあります。DigiCert Discoveryと Automationは、手動による作業を排除し、リスクを軽減し、時間を節約することで、簡単に効率を上げることができます。

今すぐコントロールする理由

コストのかかる障害を回避し、増加する証明書の使用量に対応し、最新の業界標準に準拠するためには、今すぐに証明書全体を管理する必要があります。

あなたの組織では、証明書の使用量が増えていますか?

80%の組織(英語リンク)が、今後5年間でTLSの使用量が、25%増加すると予測しており、その増加はますます有害な結果をもたらす可能性があると考えています。CIOのうち85%は、ITシステムの複雑化によって、システム停止の被害が拡大すると考えています。利用規模が大きくなればなるほど、ネットワークを保護するための完全な制御と可視性が必要になります。

現在のプロトコルに準拠していますか?

一部の組織では、以前から古いプロトコルを使用しています。古いTLSプロトコルを使用すると、機密データの漏洩や中間者攻撃の危険性があります。NSA(米国国家安全保障局)の最近の報告書(英語リンク)によると、「攻撃者は、古いトランスポート・レイヤー・セキュリティ(TLS)プロトコルの設定を悪用して、ほとんどスキルを必要とせずに機密データにアクセスすることができる」としています。

これを受けてNSAは最近、「すべてのネットワークの所有者と運営者」に対して、古いプロトコルをネットワークから排除するよう促す(英語リンク)とともに、一般にアクセス可能な連邦政府のウェブサイトには、すべて最新のプロトコルを使用するよう求めています。「NSAは、TLS 1.2またはTLS 1.3のみを使用し、SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1を使用しないことを推奨しています。」 さらに、2020年には、すべての主要ブラウザがTLS 1.0および1.1を退役させたため、公共のウェブサイトでこれらのプロトコルを使用すると、「安全ではありません」という警告が表示されるようになりました。証明書資産を可視化して制御することで、最新の業界標準に準拠することができます。

証明書の停止にかかる費用はどのくらいですか?

TLS証明書の管理が不十分だと、コストのかかる障害が発生したり、組織の評判が下がったりする可能性があります。証明書の停止は、解決までに数日を要し、1時間あたり50万ドル以上のコスト(英語リンク)がかかります。大規模な組織では、停止により、1分あたり約5,600ドルの損失が発生(英語リンク)し、2019年のデータ侵害の平均コストは390万ドルでした。

Discovery - 可視性と制御のための最初のステップ

Discovery機能は、お客様の証明書の状況をリアルタイムに把握することをもたらします。DigiCert Discoveryでは、次のスキャンを実行するためのオプションが用意されています。簡単で高速なクラウドスキャンを使用して、何もインストールすることなく、公開されている証明書の情報を取り込むことができます。より詳細なスキャンを行うためには、センサーを導入してネットワークをスキャンすることで、発行元の認証局に関わらず、内部および公開用のTLS証明書をすべて見つけることができます。

これらのセンサーは、小さなソフトウェアアプリケーションで、必要な場所に設置します。オンプレミス、クラウド、またはその両方に展開でき、使用状況に応じて拡張することができます。ネットワークにノードが増えれば(プリンター、サーバー、アプリケーションなど)、より多くのセンサーを配置し、必要に応じてスキャンの内容を変更することができます。センサーを導入し、一貫した基準(毎月、毎週など)でテストを行うことで、不正な証明書や更新されていない証明書がないことや、最も準拠した証明書がインストールされていることを確認できます。

図1 - DigiCert CertCentralのDiscoveryダッシュボード
図1 - DigiCert CertCentralのDiscoveryダッシュボード

Automation - 証明書資産をコントロールする究極の方法

証明書資産を可視化した後は、あらゆる問題を迅速かつ容易に解決できる必要があります。自動化により、手動での更新やインストールプロセスを排除することで、時間の節約とリスクの低減を実現します。

DigiCert CertCentral ®には、ACME、Automationツール、APIなど、自動化を設定する複数の方法があります。あらゆる業種の基本的な自動化のために、CertCentralは、WindowsやLinuxサーバー上で動作するUIから複数のACMEクライアントを管理することができます。無限の柔軟性とカスタマイズのために、API は CertCentral をお客様が選択したシステムまたはプラットフォームと直接統合できます。最後に、スケーラブルで管理された自動化機能のために、デジサートは、大きく展開されたロードバランサー、F5、Amazon AWS、Citrixなど、他のOEMソリューションとシームレスに統合するエンタープライズオートメーションツール一式を持っています。

どのような自動化ツールを選択しても、証明書資産の自動化を実現すれば、時間の節約とリスクの低減につながります。また、Discoveryを使用しなくても、DigiCert Automationを利用することができます。

2 Setting Up Automation Wizard in CertCentral
図2 - CertCentral でのAutomationウィザードの設定

3 Automation Set Up in CertCentral
図3 - CertCentral でのAutomationのセットアップ

4 ACME Directory in CertCentral
図4 - CertCentralのACMEディレクトリ

Discovery and Automationは、 DigiCert CertCentral ® に組み込まれています

DigiCert CertCentral ® は、証明書のライフサイクルを通して、すべてのTLS証明書を管理します。受賞歴のあるこのプラットフォームは、豊富な自動化機能、継続的なアップデート、APIベースの開発構造を特徴としており、一般的なプラットフォームやシステムへ簡単に統合できます。CertCentralのDiscoveryは、他社認証局の証明書を含む、組織の証明書全体を可視化し、積極的な管理を可能にします。CertCentral は、証明書の注文、更新、監視、検査、再発行、失効などの鍵管理作業を自動化します。CertCentralはカスタマイズ可能で、1枚の証明書から数百万枚の証明書までの拡張性を備えています。グローバルなソリューションである CertCentral は、11 の国際言語と 9つの国際通貨に対応しています。

Digicert Enterprise Automation & Discovery Suiteで簡単に自動化を設定することができます。

Digicert Enterprise Automation & Discovery Suiteを使えば、TLS証明書の自動化がこれまで以上に簡単になります。業界でも類を見ないAutomationウィザードが、あなたの組織のニーズに最適なソリューションや構成を選択するお手伝いをします。 Digicert CertCentral Discovery and Automation についての詳細は https://www.digicert.com/jp/certificate-management をご覧ください。

UP NEXT

特集記事

デジサート2021年 情報セキュリティ予測

blog-card-images
09-20-2019

IDCの新しい調査で、エンタープライズセキュリティへのPKI 利用の増加傾向が明らかに

米国科学アカデミーによるレポート:量子コンピューティングに関するDigiCertの見解