ゲスト作家 04-05-2021

2021年がPKI自動化に投資すべき年である理由

David Bisson

情報セキュリティの中核でありながら見落とされがちな公開鍵基盤(PKI)は、自動化に頼るべき(まだ十分ではない)急速に成長している分野です。組織は、電子証明書を使用して、身元を証明し、安全な認証方法を実装し、時代遅れの認証手段を取り除くことができます。デジタルトランスフォーメーション(DX)により、組織が管理する電子証明書の数は飛躍的に拡大しています。そのため、組織は、顧客や組織の情報をサイバー攻撃者から守るために、証明書を管理する方法を必要としています。

PKIを自動化しない場合の組織のリスク

組織は、PKI を自動化する機会をよく考えるべきです。業界は進化しており、パブリック証明書の有効期間は短くなっています。以前は3年でしたが、現在TLS/SSL証明書の有効期限はわずか1年となっています。また電子証明書の有効期限が24時間という特殊な利用形態もあります。パブリックTLS証明書だけでなく、ユーザやデバイスのIDや認証を管理するPKIの多くの利用形態では、短期間の証明書や定期的に入れ替える機能が求められます。また、DevOps環境では、より高い機敏さが求められます。

これらはすべて、組織の機密に対するセキュリティを高めるのに役立ちますが、電子証明書を手動で管理する作業は複雑になります。例えば、何千、何百万もの証明書を使用してインフラを保護している組織において、9時から5時まで働くIT管理者でも、雇用主の証明書を更新する作業量に追いつくことができません。もちろん、IT管理者がこれらの証明書の更新日をすべて追跡する手段を持っていることが前提です。人為的なミスが影響して、管理者が少なくとも一部の証明書の更新を忘れてしまう可能性もあります。そのため、悪意を持つ攻撃者がそれらの証明書を侵害する機会を作り、収益を生み出している顧客向けのサービスを広範囲に停止させることになります。

IT管理者の在職期間が短いことも忘れてはいけません。ほとんどの管理者は、1つの仕事に4年から6年を費やした後、別の組織に移ることになります。このような状況では、組織が手作業で保有資産管理を持することは困難です。PKIの自動化は、その時点で誰が担当しているかにかかわらず、動的な保有資産管理を維持することで支援することができます。

また、証明書の侵害に対応する作業もあります。マニュアル対応の実装は簡単ではありません。証明書が侵害された場合、管理者は証明書がどこにあるかを手動で探す時間はありません。管理者は、サイバー攻撃者がその侵害を利用して組織のインフラの他の部分にアクセスするよりも前に、侵害を修復するために迅速に行動する必要があります。特に分散型ネットワークでは、世界中に点在するデータセンターに依存しているため、このような問題が発生します。この場合、管理者は手動で侵害された証明書を探すことはできません。しかし、自動化が導入されていれば、コマンドを書いたり、UI上のボタンをクリックしたりすることで、問題を解決することができます。

また、コンプライアンスの問題もあります。公的に信頼されている証明書は常に変化しています。デジタルリスクの増大に対応して、セキュリティ業界は、証明書に新しい有効期間、新しいアルゴリズム、または新しい実装を採用するよう要求するかもしれません。管理者は、組織のコンプライアンスの義務を維持するために、これらの証明書を迅速に信頼できないようにする方法を必要としています。自動化により、管理者は、新しいコンプライアンス要件が有効になるたびに、新しい証明書を自動的に要求し、インストールするセキュリティポリシーを作成することができます。

何が組織を支えてきたのか

上記の検討事項にもかかわらず、組織では PKI を自動化することに抵抗を感じているようです。その理由の一つは、一部の小規模業者がPKIオートメーションソリューションの仕組みを誤って説明していることです。この種のツールには悪いイメージがつきまとい、PKIの自動化を利用してデジタル・セキュリティの優先事項を満たす方法を組織が学ぶことを思いとどまらせています。同時に、多くの組織が、証明書の管理方法に満足していましたが、エクセルのスプレッドシート以上のものはありませんでした。

しかし、時代は変わりました。組織は今、より大きな仕組みを必要としています。例えば、ロードバランサーとの統合や、証明書管理のための24時間365日のサポートなどが求められています。また、将来的にもサポートし続けられるようなスケーラブルな仕組みを求めています。

自動化の障害

このような変化にもかかわらず、多くの組織はまだ自動化を受け入れていません。これは、ITの成熟度が低いことが原因となっている場合もあります。多くの組織は、明日だけでなく、5年、20年先を見据えて、ITの問題を解決したいと考えています。また、この進化のために計画を立てる必要があることも理解しています。しかし、そこまで踏み込んだIT戦略がない場合もあるでしょう。自分たちのインフラの将来について具体的な知識がないと、組織は思考停止し、将来がうまくいくことを期待して、大規模な変更を控えてしまうかもしれません。

でも、おそらく上手くいきません。少なくとも、彼らが期待しているような形ではありません。組織は、IT投資に積極的に取り組み、戦略を立てる必要があります。組織がミスを犯したり、リソースを無駄に浪費したり、目の前の瞬間を活かせなかったりするのは、遅れてしまった反応に、あわてて追いつこうとするときです。

同時に、組織はコスト面での懸念から、PKIの自動化をためらってきました。証明書を自動化するためのコストは高いと考えています。しかし、この考えは、研究や実際の利用例と矛盾しています。確かに前もって高い費用を支払うかもしれませんが、その費用は、攻撃者が電子証明書の脆弱性を悪用した場合、組織が最終的に支払うことになる費用のほんの一部に過ぎません。

PKIの自動化を最大限に活用するためのベストプラクティス

組織にとって、自分たちが何を持っているのかを知らずに自動化を検討することは、考えが甘いと言えます。PKIを効果的に自動化するためには、自分たちが何を持っているのかを知る必要があります。この取り組みの一環として、組織はPKIの自動化をより広範なインフラに拡大することを検討する必要があります。組織が望むのは、インフラの一部だけを自動化することではありません。そうなると、組織は、他のインフラのことを忘れてしまうかもしれません。それは時々起こります。

ディスカバリーソリューションを使用することで、組織は自動化できるものとできないもののインベントリーを作成することができます。そして、自動化できる資産については、PKIの自動化を利用し、自動化できない資産については新しいモデルや技術に移行することができます。

2021年がPKI自動化の時期である理由

PKIの自動化に投資するのに、間違った時期はありません。組織は、日々、自動化の機会に直面しています。特に、2020年に起こったことを考えると、特にそうなります。今回のパンデミックでは、組織のデジタル・セキュリティを人だけに頼ることはできないことが証明されました。管理者が仕事をする上で、多くの未知の問題があります。そのため、誰がオフィスにいても証明書を追跡できる手段が必要です。

そこで登場するのが、デジサートのソリューションです。多くの事例を持つお客様との対話を経て、デジサートは時間をかけてソリューションを構築し、新しいワークフローに対して、よりスケーラブルで柔軟なソリューションを提供してきました。その結果、デジサートはこれまでよりもさらに多くの利用形態をサポートし、数万のエンドポイントを持つお客様が数日でシステムを自動化するための支援ができるようになりました。

デジサートのソリューションが、PKIの自動化の不安をどのように解消するのかをご紹介します

UP NEXT
セキュリティ 101

デジサートが証明書の完全性を保証する方法: デジサートのコンプライアンスとインフラに関するFAQ

5 Min

特集記事

クラウド上で量子コンピュータをいかに保護するか

NIST PQC アルゴリズムに関する詳細な説明

従来の PKI がもたらす割高な機会損失