TLS/SSL証明書は、コンプライアンスを維持し、脆弱性から安全を保ち、有効期限切れを避けるために、常に監視する必要があります。しかし、ほとんどの組織は、組織内にある証明書の状況を全てリアルタイムで把握していません。ネットワークに可視性がなければ、不正な証明書や更新されていない証明書を制御することはできません。可視化することは単に期限切れのリマインダーを設定するだけではなく、コンプライアンスを維持し、追跡と監査を簡素化することにもつながります。
可視化ができれば、次にに重要なのは、証明書を迅速かつ容易に置き換え、そして失効させる機能です。可視化と制御ができなければ、ネットワークの暗号化に穴がないことを自信を持って確認することができず、ネットワークが侵害されたり、コンプライアンス監査で不合格になったりするリスクがあります。DigiCert Discoveryと Automationは、手動による作業を排除し、リスクを軽減し、時間を節約することで、簡単に効率を上げることができます。
コストのかかる障害を回避し、増加する証明書の使用量に対応し、最新の業界標準に準拠するためには、今すぐに証明書全体を管理する必要があります。
約 80%の組織(英語リンク)が、今後5年間でTLSの使用量が、25%増加すると予測しており、その増加はますます有害な結果をもたらす可能性があると考えています。CIOのうち85%は、ITシステムの複雑化によって、システム停止の被害が拡大すると考えています。利用規模が大きくなればなるほど、ネットワークを保護するための完全な制御と可視性が必要になります。
一部の組織では、以前から古いプロトコルを使用しています。古いTLSプロトコルを使用すると、機密データの漏洩や中間者攻撃の危険性があります。NSA(米国国家安全保障局)の最近の報告書(英語リンク)によると、「攻撃者は、古いトランスポート・レイヤー・セキュリティ(TLS)プロトコルの設定を悪用して、ほとんどスキルを必要とせずに機密データにアクセスすることができる」としています。
これを受けてNSAは最近、「すべてのネットワークの所有者と運営者」に対して、古いプロトコルをネットワークから排除するよう促す(英語リンク)とともに、一般にアクセス可能な連邦政府のウェブサイトには、すべて最新のプロトコルを使用するよう求めています。「NSAは、TLS 1.2またはTLS 1.3のみを使用し、SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1を使用しないことを推奨しています。」 さらに、2020年には、すべての主要ブラウザがTLS 1.0および1.1を退役させたため、公共のウェブサイトでこれらのプロトコルを使用すると、「安全ではありません」という警告が表示されるようになりました。証明書資産を可視化して制御することで、最新の業界標準に準拠することができます。
TLS証明書の管理が不十分だと、コストのかかる障害が発生したり、組織の評判が下がったりする可能性があります。証明書の停止は、解決までに数日を要し、1時間あたり50万ドル以上のコスト(英語リンク)がかかります。大規模な組織では、停止により、1分あたり約5,600ドルの損失が発生(英語リンク)し、2019年のデータ侵害の平均コストは390万ドルでした。
Discovery機能は、お客様の証明書の状況をリアルタイムに把握することをもたらします。DigiCert Discoveryでは、次のスキャンを実行するためのオプションが用意されています。簡単で高速なクラウドスキャンを使用して、何もインストールすることなく、公開されている証明書の情報を取り込むことができます。より詳細なスキャンを行うためには、センサーを導入してネットワークをスキャンすることで、発行元の認証局に関わらず、内部および公開用のTLS証明書をすべて見つけることができます。
これらのセンサーは、小さなソフトウェアアプリケーションで、必要な場所に設置します。オンプレミス、クラウド、またはその両方に展開でき、使用状況に応じて拡張することができます。ネットワークにノードが増えれば(プリンター、サーバー、アプリケーションなど)、より多くのセンサーを配置し、必要に応じてスキャンの内容を変更することができます。センサーを導入し、一貫した基準(毎月、毎週など)でテストを行うことで、不正な証明書や更新されていない証明書がないことや、最も準拠した証明書がインストールされていることを確認できます。
図1 - DigiCert CertCentralのDiscoveryダッシュボード
証明書資産を可視化した後は、あらゆる問題を迅速かつ容易に解決できる必要があります。自動化により、手動での更新やインストールプロセスを排除することで、時間の節約とリスクの低減を実現します。
DigiCert CertCentral ®には、ACME、Automationツール、APIなど、自動化を設定する複数の方法があります。あらゆる業種の基本的な自動化のために、CertCentralは、WindowsやLinuxサーバー上で動作するUIから複数のACMEクライアントを管理することができます。無限の柔軟性とカスタマイズのために、API は CertCentral をお客様が選択したシステムまたはプラットフォームと直接統合できます。最後に、スケーラブルで管理された自動化機能のために、デジサートは、大きく展開されたロードバランサー、F5、Amazon AWS、Citrixなど、他のOEMソリューションとシームレスに統合するエンタープライズオートメーションツール一式を持っています。
どのような自動化ツールを選択しても、証明書資産の自動化を実現すれば、時間の節約とリスクの低減につながります。また、Discoveryを使用しなくても、DigiCert Automationを利用することができます。
図2 - CertCentral でのAutomationウィザードの設定
図3 - CertCentral でのAutomationのセットアップ
図4 - CertCentralのACMEディレクトリ
DigiCert CertCentral ® は、証明書のライフサイクルを通して、すべてのTLS証明書を管理します。受賞歴のあるこのプラットフォームは、豊富な自動化機能、継続的なアップデート、APIベースの開発構造を特徴としており、一般的なプラットフォームやシステムへ簡単に統合できます。CertCentralのDiscoveryは、他社認証局の証明書を含む、組織の証明書全体を可視化し、積極的な管理を可能にします。CertCentral は、証明書の注文、更新、監視、検査、再発行、失効などの鍵管理作業を自動化します。CertCentralはカスタマイズ可能で、1枚の証明書から数百万枚の証明書までの拡張性を備えています。グローバルなソリューションである CertCentral は、11 の国際言語と 9つの国際通貨に対応しています。
Digicert Enterprise Automation & Discovery Suiteを使えば、TLS証明書の自動化がこれまで以上に簡単になります。業界でも類を見ないAutomationウィザードが、あなたの組織のニーズに最適なソリューションや構成を選択するお手伝いをします。 Digicert CertCentral Discovery and Automation についての詳細は https://www.digicert.com/jp/certificate-management をご覧ください。