Crypto Agility 07-22-2022

可視性と自動化によって暗号化の俊敏性を改善する方法

Timothy Hollebeek
digicert-blogimages-mar22

デジタルトランスフォーメーションのペースは加速し続けており、企業と人とモノがつながる領域も増えてきました。そのため、デジタルトラストを確立することで、個人と企業がデジタル世界におけるフットプリントの安全性を確信してオンラインに参加できるようにすることが重要です。しかし、オンライン取引を安全に進めていくうえで、量子コンピュータは脅威となっています。このために、NIST (米国商務省標準化技術研究所)は、従来型コンピュータと量子コンピュータの両方で耐える見込みのある暗号化アルゴリズムをレビューし続けてきました。

NIST がプライマリ量子耐性暗号化アルゴリズムの選定を最近発表したことを踏まえ、自社の暗号化の俊敏性を考慮するのに今は最適な時期です。NIST の選定アルゴリズムが各標準に組み込まれるようになるには何年もかかる可能性があり、かつ標準を最終決定するまではこれらのアルゴリズムに変更が加えられる可能性があることを NIST は提言しているため、今からいくつかの手順を踏んで、準備しておくことができます。耐量子コンピュータ暗号(PQC)の導入に備えて組織ができる最も重要な取り組みは、暗号化の俊敏性を改善することです。

暗号化の俊敏性とは何ですか?なぜ重要なのですか?

暗号化の俊敏性とは、セキュリティシステムが暗号化メカニズムを素早く切り換える能力のことを言い、組織の暗号化資産の可視化と動的な移動に焦点を当てます。暗号化の俊敏性には、組織で暗号化がどのように採用されているかを把握し、問題を特定して素早く修復するためのツールを用意できることが関係しています。これには、暗号化のベストプラクティスに関する明確なポリシーを確立することが含まれます。さらに、新たな暗号化アルゴリズムをテストできる能力も含まれます。従来の暗号化アルゴリズムの使用者は、各自のソフトウェアに NIST 推奨の PQC アルゴリズムをどのように組み込むかテストし始める必要があるため、この能力は特に重要です。

現在導入されている暗号化アルゴリズム(RSAECC)が量子コンピュータによって危殆化されるにつれ、すべての業種と組織にとって暗号化の俊敏性の獲得は不可欠な取り組みになるのです。これは、特にネットワーク上の接続されたエンドポイントが増えるにつれ、暗号化の俊敏性によって、競争上の優位性を持てることを意味します。量子コンピュータが重大な脅威として立ちはだかるまでは 5 年から 10 年かかりますが、当面の間は、各セキュアインターネットプロトコルを NIST 標準アルゴリズムに移行していく必要があります。

暗号化の俊敏性の実現方法

暗号化の俊敏性を実現するには、組織内のどこで暗号化が使われており、その暗号化技術がどのように実装されているかが完全に可視化されていることと、問題が発生した場合に迅速に特定して修正できる能力が必要です。

ただし、可視化だけが重要であるわけではありません。同じく重要なのが、システムのインフラを大きく乱すことなく、古くなった暗号資産を交換する能力です。これを実現するための最善の方法の 1 つが、自動化を行うことです。つまり、暗号化の俊敏性は、可視化と自動化という 2 つのステップで実現されます。

ステップ 1: 可視化

セキュリティ専門家が自社のインフラのどこに暗号が使われているかについて、その全体像を把握していないことが残念ながらよく見られます。PQC への準備を支援するだけでなく、暗号の可視性を得ることで、現在のセキュリティ攻撃のリスクを低減できます。今日の組織は、セキュリティ保護を必要とする暗号をかつてないほど抱えています。Web 上で TLS/SSL 証明書はまだ一般的ですが、コロナ禍の後、全世界の組織が公開鍵基盤(PKI)ハードウェア、ソフトウェア、ID およびアクセス管理などの領域で採用するようになりました。接続数が増加したということは、組織の攻撃対象領域も増えたことを意味します。そのため、脆弱性に関するリアルタイム情報を取得し、問題を特定して素早く修復することが不可欠です。

暗号化の俊敏性の改善を始めるにあたり、何を置き換える必要があるかを検知してインベントリを作成します。それには、公開鍵暗号方式を使って、システムとアプリケーションを包括的にスキャンする必要があります。デジサートは、証明書検知サービスにより、証明書の全体像をリアルタイムで把握することを可能にしています。検知サービスはすべての DigiCert CertCentral アカウントに含まれています。

ステップ 2: 自動化

暗号インフラストラクチャに対する可視性を獲得したら、次のステップとして、自動化により、古くなった暗号を必要に応じて交換します。暗号鍵と証明書を素早く交換できる能力が、耐量子環境で安全を確保するうえで重要になってきます。しかしながら、証明書を手動で管理するのは時間がかかり、人的エラーをもたらしかねません。証明書の更新とインストールのプロセスを自動化すると、暗号がシームレスに最新の状態に保たれ、証明書ライフサイクル管理が簡略化されます。これを実現する最も簡単な方法は、PKI をサービスとして Automation Manager と使用することです。

DigiCert Automation Manager を使用すると、効率化されたセキュアな証明書の自動化が実現され、大量の証明書を数分以内で処理できます。検知と自動化を PQC ツールキットを使って行うことで、組織の暗号化の俊敏性を今から改善でき、NIST の標準化アルゴリズムに迅速かつ簡単に準拠していくことができます。

さらに、現在利用可能なこれらのテクノロジーによって、耐量子アルゴリズムにアップグレードできるようになるだけでなく、将来起こりうるいかなる暗号上の課題にも対応できるよう組織の能力が強化されます。

暗号化の俊敏性に関するデジサートの推奨ツールについて、以下をご覧ください。

デジサートの耐量子コンピューティングツールキット

デジサートは、NIST が耐量子コンピュータ暗号の標準を設定することの支援に関与してきて、お客様が PQC に対し準備するためのソリューションも作成してきました。デジサートの PQC ツールキットは、ハイブリッドの RSA/PQC 証明書(TLS または IoT)のインストールプロセスを試したい技術者ユーザー向けに開発されています。耐量子アルゴリズムを今すぐ、あるいは将来の取り組みとして調査する予定であるかどうかに関わらず、デジサートは、特定のビジネスニーズを満たす必要があるお客様に対し専門知識を提供し、サポートすることができます。

PQC ツールキットは CertCentral から zip ファイル形式でダウンロードできるので、ツールキットの入手方法の詳細をご覧になるにはデジサートセールスにお問い合わせしてください。ツールキットには、Linux サーバかワークステーション上の OpenSSL(一般的な SSL/TLS ライブラリ)と Apache (Web サーバ)の耐量子対応バージョンの構築方法、ならびにさまざまなテストを実行するこれらのプログラムの使用方法の手順が含まれます。

https://docs.digicert.com/ja/certcentral/certificate-tools/post-quantum-cryptography/pqc-toolkit-setup-guide.html で詳細をご覧ください。

DigiCert® Automation Manager

DigiCert ONE™DigiCert Automation Manager は、複雑なネットワークにおいて多数の TLS/SSL 証明書を自動化する際に発生する、管理とセキュリティの問題を解消します。Automation Manager は、単一かつオンプレミスのコンテナベースのセキュア接続で、セキュリティおよび TLS 管理のきわめて要求の厳しい要件にも対応できます。最新の UI を介してシングルポイントでの管理を可能にすることで、Automation Manager は時間の節約、セキュリティリスクの低減を実現します。また、証明書の自動化により大量の処理に追われている IT 専門家も、Automation Manager を使用することにより、日々の業務フローの効率化を図ることができます。DigiCert ONE の一部として、Automation Manager は大量の証明書の数分以内での高速展開を実現し、オンプレミス、国別、クラウドに柔軟に展開できます。

https://www.digicert.com/jp/blog/digicert-automation-manager-prevents-certificate-outages で詳細をご覧ください。

UP NEXT