デジタルトラスト は、私たちが今生きているコネクテッドな社会をつくり、それに参加し、成長させることを可能にするものです。これにより、私たちがオンラインで行っていること（交流、取引、ビジネスプロセスなど）が安全であるという確信を持つことができます。

ITに求められるデジタルトラストと、デジタルトラストの4つの構成要素についてお話しました。

• 信頼を構成するものを定義する業界標準と技術標準
• PKIを基盤とし、信頼を管理するコンプライアンスとオペレーション
• デジタル証明書のライフサイクルを一元的に可視化し、管理することで、組織内の公開/非公開の信頼関係を管理するソフトウェア
• 機器ライフサイクル、ソフトウェアサプライチェーン、コンソーシアムなど、エコシステムを通じた信頼の拡大

しかし、なにがデジタルトラストの成功の決め手になるのでしょうか。また、それをどのように測定するのですか？

IT部門内では、デジタルトラストを管理する担当が複数存在する場合があります。 PKI管理者、ID・アクセス管理者、情報・製品セキュリティ設計者です。これらのIT部門にはそれぞれ、デジタルトラストの成功、または成功への道筋を測定するやり方があります。そして、これらの指標の一部は経営陣まで報告され、ビジネス目標に対するデジタルでの信頼の重要性が認識されます。

これらの指標は、主要な4項目に分類することができます。

1. 障害

測定対象はなにか。意図しない証明書の有効期限切れによる障害は、特にミッションクリティカルなシステムで発生した場合、非常に目立ちます。意図せぬ停止の原因はいくつか考えられます。特に、証明書を手動で追跡している場合は、見落としによって発生する可能性があります。これらは、誤った証明書の設定による人為的なミスによって引き起こされることがあります。また、不正な活動、つまりIT管理の範囲外で購入されたガバナンスの効かない証明書によって引き起こされることもあります。

指標としては、以下のようなものが考えられます。

• 意図しない証明書の有効期限切れによる停止回数（多くの場合、この目標数はゼロです）、
  
• 停止による経済的影響、または
• 障害復旧までの時間です。
  

誰が測っているのか 停止は複数の部門に影響し、とくにITオペレーション、安定稼働を担当する部門、アプリケーション開発部門にとっては意味のある測定項目となります。

対処方法 停止回数や可能性を減らす方法としては、以下のようなものが考えられます。 証明書管理の一元化 と 証明書更新の自動化です。

2. 利用率/ユーザビリティ/セキュリティ

測定対象はなにか。また、採用率も重要な指標となります。ユーザーが証明書を必要な場所にインストールしていますか？ テクニカルサポートに設定の支援を依頼していますか？ 証明書は、社員の入社や退職との作業効率を高めているのか、あるいは逆にセキュリティギャップが生じさせる原因になっているのか。

指標としては、以下のようなものが考えられます。

• 利用率
  
• 技術サポートの負荷
  
• 証明書のプロビジョニング/取り消しにかかる時間
  

誰が測っているのか このような考慮点は、システムアクセスや以下のようなサービスのプロビジョニングを担当するID/アクセス管理者にとって重要です。 VPN、ワイヤレスまたは メールセキュリティなどです。また、他の事業部や子会社のIT部門にサービスを提供する中央集権型のIT運用においても、重要な指標となる可能性があります。

対処方法 IT担当者は自動化を、利用率の促進、ユーザビリティ、セキュリティの懸念に対処するための重要な戦略であると見なしています。自動化により、IDのプロビジョニングと管理を一般ユーザーが気にしなくてもよいようにできます。オンボーディングとオフボーディングをシームレスにすることで、導入率の向上、技術サポートの負荷軽減、プロビジョニングギャップの解消を図ることができます。

3. 俊敏性/脆弱性

測定対象はなにか。脆弱性管理を担当するIT担当者は、 暗号の俊敏性 （暗号規格や社会環境の変更による脅威への対応力）に懸念を抱いているかもしれません。これらの担当者は、利用している暗号機能とそれに関連する脆弱性または暗号プロファイルを全体的に把握する必要があります。

指標としては、以下のようなものが考えられます。

• 暗号資産一覧
• アルゴリズムプロファイル
  
• 暗号鍵と証明書のプロファイルとステータス

誰が測っているのか。脅威への迅速な対応を必要とするセキュリティ運用、IT運用、情報セキュリティの担当者は、暗号資産一覧を一元管理することで、環境の可視化と制御を実現するメリットがあります。

対処方法 企業環境内の暗号資産を調査し、一覧を作成するディスカバリーツールは、一元管理を支援します。脆弱性評価ツールは、セキュリティの評価を行い、古いアルゴリズムを特定し、改善の優先順位を決定します。自動化ツールは、必要な修復を迅速に行い、コンプライアンス変更への対応を合理化するのに役立ちます。

4. リスク／コンプライアンス

何を測定しているのか。リスクに関心を持つIT担当者は、コンプライアンス、特権アクセス、攻撃対象領域、脅威インテリジェンス、トラスト管理に関心を持つかもしれません。

これらの分野の一つまたは複数のリスク姿勢と許容範囲をモニタする重要な項目とみなすことができます。

誰が測っているのか。システム、アプリケーション、ネットワークエンジニアリング、セキュリティオペレーション、ITオペレーションを中心としたIT部門。

対処方法 認証、特権アクセス、ネットワークインベントリ、監視を管理するツールは、これらのチームの目標をサポートすることができます。証明書の不正購入を防止する対策も役に立ちます。証明機関の承認（CAA: Certification Authority Authorization）ドメインロックにより、中間者攻撃の一環となる不正な証明書の利用を防ぐことができます。

CTログ監視は、企業ネットワークにおける不正な証明書の存在を監視するための有効な手段となります。

デジタルトラストと役員会

意図しない証明書の有効期限切れによる停止がなく、アイデンティティのプロビジョニングが自動化され、KRI（重要リスク指標）が許容範囲内にあり、暗号の脆弱性にタイムリーに対処できており、経営陣が気にしなくてもいい状態を「デジタルトラストの成功」と考えるIT担当者がいます。しかし、この目的を達成するためには、停止時間の短縮、導入の改善、運用の合理化、コンプライアンスの維持、リスクの低減などの戦略が最も重要です。経営陣は、これらの目標に向けた進捗状況を示す指標を確認するとよいでしょう。

DigiCertのようなデジタルトラストのベンダーをパートナーにすることは、デジタルトラストの目標を管理する上で効果的な方法と言えます。DigiCertは、強力なデジタルトラストソリューション製品サービスを取り揃え、標準化団体への積極的な関与を行っています。緊急時には解決を支援する人的リソースを提供し、ダウンタイムを最小限に抑え、成功を保つ指標を提供します。

DigiCertに聞く

デジタルトラストのためのDigiCertのプラットフォームについてもっと知りたいですか？ メールでのお問い合わせはjpn-info-pki@digicert.com宛にご連絡ください。