DigiCertが、現実の問題を解決するために、デジタルトラストの確立、管理、拡大をどのように支援しているかをご覧ください。
世界のIT・情報セキュリティリーダーたちが、デジタル技術の信頼性を欠いたセキュリティはセキュリティではないと考えている理由とは?
2023年8月15日よりCertCentralのサインインではユーザ名とパスワードのほかにワンタイムパスワード(OTP)もしくはクライアント証明書の二要素認証による提示が必要となりました。 設定等についてはこちらのKnowledgeを参照ください。
証明書の盲点は、今もなお進行中であり、しかも増えつつある問題です。2021 年にデジサートが実施した調査でも、企業は平均して 5 万以上のサーバー証明書を管理しており、その数は増加傾向にあることが判明しています。一元化された暗号アルゴリズムの資産台帳がなければ、企業は期限切れ証明書によって引き起こされる業務停止や、未確認の脆弱性によって生じる侵害やビジネス中断というリスクを負うことになります。
このような盲点は、企業が他の企業を買収したり合併したりすると、さらに煩雑になります。新たに買収した企業は、異なる認証局から証明書を購入していたり、証明書管理のポリシーとプロセスが異なっていたりする、あるいは自社の環境を把握していない可能性があるからです。今回の記事では、このような課題をいくつか取り上げ、DigiCert® Trust Lifecycle Manager の機能について説明します。
買収された企業には独自の CA 関係とポリシーがあり、それは買収する側の企業とは異なっている可能性が高いこともあります。IT リーダーが証明書の統合戦略を吟味し、買収した企業を統一ポリシーのもとでいかに管理するか、また重要なビジネスプロセスを管理するどの証明書の更新が必要かを検討する際には、まず双方の環境にどのような証明書が存在するかを把握しなければなりません。この目標をさらに複雑にしているのが、ここ数年で進んだ IT 環境の複雑化です。大手の企業は今、オンプレミスとクラウドベースのインフラストラクチャを組み合わせたうえで、世界中に分散させています。
CA に依存しない包括的な検出を実現する証明書管理ソリューションがあれば、IT の責任者は資産台帳の統合に向けた初めの一歩に必要な情報を得ることができます。すなわち、双方の環境に存在するものを把握できるということです。主な基準としては、クラウドを含む複数のパブリック認証局とプライベート認証局や、証明書がインストールされていそうな無数のターゲットシステムを通じて証明書を検出し、一覧化する機能などがあります。この資産台帳は、どんな脆弱性を修正する必要があるか、どんな措置が必要かについてのインサイトももたらします。
2 つの企業が合併するときには、証明書の購入、インストール、更新を管理するポリシーとプロセスがかなりの確率で異なるものです。調達を一元化している場合もあれば、証明書の購入に携わる部門が違っている場合もあります。組織によっては、一定の種類の証明書(メール通信の安全性を確保する S/MIME など)のインストールと使用を義務化していることもありますし、従業員の裁量で一部の証明書をオプション扱いにしていることもあります。また、IT 部門以外、あるいは個人または部門が購入したために管理されていない証明書が存在する場合もあります。
証明書のライフサイクルを一元管理すると、企業はその目的に適したペースと優先順位で、証明書管理に関わる業務を統合し始められます。主な基準としては、承認済み認証局の指定、証明書グループのタグ付け、承認ワークフローや有効期間を管理するポリシーの適用、ディレクトリサービスに対する証明書プロビジョニングの自動化などの機能があります。
暗号の敏捷性は合併・買収における重要な目標であり、それには理由がいくつかあります。第一に、合併や買収によって証明書の母数が拡大するため、ミスなく発行と更新を管理しようとする IT が複雑になります。第二に、有効期間や基準が変わる可能性があります。有効期間の短縮(1 年、90 日、または一時的な証明書など)に対応できることや、証明書の種類を新しい標準要件に準拠させたりできることが不可欠です。第三に、企業は耐量子コンピュータに備え始める必要があります。つまり、量子コンピュータの発達に合わせて暗号アルゴリズムを更新できるように、今の時点で証明書ガバナンスの成熟を図るということです。TLS/SSL 証明書管理に関する NIST のフレームワーク、NIST SP1800-16 でも、基本的な要件として自動化が強調されているのは、一部にはこうした理由からなのです。
証明書の発行と更新を自動化すれば、企業は煩雑さを合理化し、人為的なミスを排除して、変化に対応する敏捷性を取り入れることができます。主な基準としては、幅広い登録フロー、対象システム、ユースケースに対応して証明書を自動化する機能があります。
DigiCert Trust Lifecycle Manager は、証明書インベントリの検出、証明書に関するポリシーとプロセスの一元管理、証明書ライフサイクルの自動化などをめぐって上記のような課題に取り組んでいる企業を支援します。
たとえば、デジサートのあるお客様は CertCentral® から取得した DigiCert TLS 証明書を Excel スプレッドシートとスクリプトを使用して管理する有能な PKI チームを抱えていました。しかし買収に向けて、現在の証明書環境と、新しい組織の追加に伴って生じる証明書環境とを一元管理する方法が不可欠になりました。
主なニーズは以下のとおりでした。
DigiCert Trust Lifecycle Manager がこうしたニーズに応えたため、このお客様は買収した組織に存在する証明書を含めて証明書管理の幅を広げるとともに、CertCentral とのシームレスな統合を実現しました。CertCentral は、パブリックトラスト証明書の発行で引き続き利用されています。真に CA に依存しないソリューションも、また承認済み認証局と緊密に統合されたソリューションもどちらも利用できるというのは、デジタルトラストが現実世界に対応する形を示すもうひとつの例です。
複数の証明書インベントリを一元的な環境で管理するうえで必要な検出、管理、自動化の機能については、https://www.digicert.com/jp/trust-lifecycle-manager をご覧ください。
© 2024 DigiCert, Inc. All rights reserved.
リーガルリポジトリ Webtrust 監査 利用条件 プライバシーポリシー アクセシビリティ Cookie 設定 プライバシーリクエストフォーム