ことセキュリティに関する限り、コロナ禍以前の日々を思い出すのは難しくなりました。そこで、ネットワークトラフィックデバイスで期限が切れた電子証明書が、近年の歴史上でもとりわけ壊滅的なデータ侵害につながった、2017 年当時の一見穏やかそうな日々を振り返ってみましょう。

米国の三大信用情報機関の 1 つである Equifax は、米国内の 1 億 5000 万以上に及ぶ個人を特定できる情報（PII）を盗み出されるという大規模なデータ侵害を受けました。盗まれたデータには、社会保障番号、生年月日、運転免許証、住所、クレジットカード番号などが含まれていました。

発端は、ネットワーク追跡デバイスで使われていた期限切れの電子証明書を、同社が交換するどころか発見することさえできなかったことにあります。そのため、ネットワークデバイスは脆弱性スキャンを実行できなくなり、攻撃者が 76 日間（！）にもわたってネットワークに侵入し、複数のデータベースから個人情報を盗み出すのを阻止できなかったのです。

一元的な可視化の欠如がデータ侵害の引き金に

Equifax での事件は、それだけでも十分に悪いことでしたが、その状況をさらに不可解にしているのは、このネットワークトラフィックデバイス証明書が、システムに侵入される 10 か月も前に失効していたという事実です。一般消費者（そして米国上院など）は、これほどのセキュリティ侵害がなぜ起こったのかと疑問に思うでしょう。当然のことです。

しかし、私たちのように PKI の保護に精通している者からすれば、その理由は一目瞭然です。原因は、同社が電子証明書のインベントリを可視化できていなかったことにありました。従来、電子証明書の管理は散漫なものでした。数人の PKI 管理者が企業全体の電子証明書の管理を担い、通常はスプレッドシートや内製のスクリプトなどのポイントソリューションを使って管理に当たろうとしていましたが、人為的なミスが発生しがちでした。こうしたツールのどれにも、個々の事業部門が所有する証明書を発見したり、インベントリ化したりする機能がありません。また、各事業部門の証明書所有者は、証明書が企業のポリシーやセキュリティ標準に準拠しているかどうかを確認することの重要性を理解していない場合も少なくありませんでした。

Equifax の失敗につながった原因をひとつひとつ分析することはできませんが、いかにして起こりえたかはわかります。証明書有効期限を知らせるアラートが、すでに退職した管理者に送られていたというような、基本的なことかもしれません。あるいは、証明書が会社の承認した以外の認証局（CA）から調達されたものだった可能性もあります。さまざまな可能性が考えられそうです。

PKI 関連の障害は、急速に拡大している問題

Equifax は、証明書関連の障害がもたらす被害を示す最も壮大な事例かもしれませんが、決して特異な例ということではありません。証明書関連の障害に関する最近の公的な例としては、以下のようなケースがあります。

• 2018 年の O2/Ericsson ネットワーク障害。期限切れの証明書が原因で、英国の顧客 3200 万人が約 24 時間にわたってあらゆる携帯電話サービスを使えなくなりました。
• 2020 年のカリフォルニア感染症報告システム（CalREDIE）の障害。期限切れの証明書が発見されなかったため、カリフォルニア州の COVID-19 症例数のうち相当数が計上されず、CalREDIE パートナーは数日間、検査結果をシステムにアップロードできなくなりました。
• 2021 年の Azure Active Directory の障害。Office 365 や Xbox Live など Microsoft のサービスが 14 時間にわたって停止しました。

しかも、このようなインシデントは、組織で発生する全停止のごく一部にすぎません。デジサートが実施した 2021 年の調査では、企業の 3 分の 2 が前年度に少なくとも 1 回、PKI 関連サービスで停止を経験したと回答しており、過去 6 か月間に 5 ～ 6 回の PKI 関連停止を経験したという回答も 25% にのぼりました。

これは持続的で一般的な問題であり、電子証明書の数が指数関数的に増加するにつれて悪化の一途をたどっています。TLS/SSL 証明書は、ウェブサイトやサーバーから、何百ものマイクロサービスを組み込んだコンテナ型アプリケーションまで、あらゆるものの認証に使われるようになっています。平均的な Global 2000 企業が抱える証明書の数は、今でもすでに数十万単位に達します。手作業だけで、あとは運を天に任せるような証明書ライフサイクル管理では、もはや対応しきれないのです。

NIST に聞く - 今こそ可視化を一元化するとき

2020 年 6 月、米国商務省標準化技術研究所（NIST）は特別文書 1800-16: Securing Web Transactions, TLS Server Certificate Management（SP 1800-16）を発表しました。このフレームワークは、そのほとんどがコロナ禍に伴ってデジタルトランスフォーメーションの取り組みが加速するより前に書かれたもので、組織は「環境のあらゆる TLS サーバー証明書で明確な可視性を確立し維持する」必要があると強調し、以下のような証明書ライフサイクル管理の基本タスクを実行できるようにしています。

• 脆弱なアルゴリズムの使用など、潜在的な脆弱性を発見する。
• 期限切れの証明書を特定して交換する。
• 規制ガイドラインや企業ポリシーに必ず準拠する。

NIST は続いてこう述べています。「この可視化は、TLS サーバー証明書すべてのインベントリを管理することによって達成される。重要な TLS サーバー証明書を見落とす可能性を最小限に抑えるため、一元的なインベントリが推奨される」（強調の斜体字は引用者）

可視化の一元化が制御の、そしてデジタルトラストの鍵

Equifax で起きたデータ侵害は、FTC の罰金だけで 5 億 7500 万ドルの損害となりました。同社の評価に対するダメージは計り知れません。Equifax に先見の明があり、ネットワーク全体を可視化する効果的な証明書ライフサイクル管理（CLM）ソリューションを導入していたら、どうだったでしょうか。犯罪者に脆弱性を突かれるより早く、期限切れの証明書を発見し、交換していたはずです。

NIST が指摘するように、企業全体の電子証明書インベントリに関して真の可視化を実現する唯一の方法は一元化です。そのためには、証明書の所有者、所在、使用方法、有効期間にかかわらず、証明書を「見える」ようにできるソリューションが必要です。

次回のブログ記事では、証明書の管理、通知、自動化がデジタルトラストの目標をいかにしてサポートするかを検証します。

DigiCert Trust Lifecycle Manager は、CA に依存しない証明書ライフサイクル管理、プライベート PKI サービス、パブリックトラスト発行をひとつにしたフルスタックソリューションによって、シームレスなデジタルトラストインフラを実現します。電子証明書の管理に必要な可視化もお任せください。

組織の証明書インベントリを一元管理する方法については、https://www.digicert.com/jp/trust-lifecycle-manager を参照してください。