IDCの新しい調査で、エンタープライズセキュリティへのPKI 利用の増加傾向が明らかに

デジサートが依頼した調査で、公開鍵基盤(PKI)への投資がセキュリティを強化し、ビジネスプロセスを刷新していることが判明しました。

デジサートが発表したIDCによる新しい調査結果によると、Webサイト向けのSSL/TLSサーバ証明書だけではない広いセキュリティ施策としてPKIを利用する企業の数がこの10年間で2倍以上に増え、2018年には65%に達したことがわかりました。ヨーロッパと北米で、最高情報セキュリティ責任者(CISO)、セキュリティアーキテクト、ITセキュリティおよびデータ管理の専門家など400人以上にインタビューを行った「ハイブリッドクラウド向けデータサービスに関するIDC調査」(IDC Data Services for Hybrid Cloud Survey)によると、デジタルトランスフォーメーション構想を保護する際にセキュリティ責任者がPKIを重視する傾向が、さまざまなビジネス用途で強くなっているといいます。PKIの実装が普及すると、電子証明書の適切な管理も欠かせなくなってきます。IDCの調査によると、ダウンタイムが発生した場合のコストは業界全体の平均で1時間あたり25万ドルに及ぶことがわかっており、管理されていない電子証明書が一枚失効するだけで収支にも大きく響きかねません。

「PKIは、実装と管理が適切であれば、コスト増および評判にもかかわるデータ侵害を避ける手段として組織が使う強力なツールになります。」と、IDCのセキュリティ製品担当リサーチディレクターRob Westervelt氏は述べています。「暗号化と鍵管理の戦略を見直して状況認識に努め、そこからセキュリティ態勢の補強に乗り出す組織が増えていることが、IDCの調査でも判りました。」

調査によると、今日のビジネスプロセスをPKIによってサポートすれば、自動化を強化し、セキュリティの問題を緩和して、デジタル情報と電子取引の処理を合理化できるとされます。セキュリティチームは、データプライバシーとデータセキュリティに関する新しい規制に対処するうえで必須の要素としてPKIを利用しています。また、自宅にいたまま機密性の高い取引を安全に遂行できるようにして顧客満足度の向上を図る新しいビジネスプロジェクトでも、PKIがその進捗を左右するようになりました。

クラウドサービスの利用が増えることで、攻撃の範囲も広がっており、ハッカーはITインフラの複雑さや構成上の問題に伴う弱点を巧みに狙えるようになってきました。評判の失墜、直接的なコスト、法的な制裁に加えて、サイバー攻撃は予定外のダウンタイム、競争に関わる企業秘密の漏えい、恒久的なデータ損失などももたらします。調査対象の37%の組織が、今後2年間に直面する重大な脅威、その上位3つのひとつしてセキュリティソリューションの複雑さを挙げました。しかし、各社のCISOも同意しているように、合理的なPKIを実装できれば、そうした複雑さを低減でき、マネージドPKIサービスによって間接費やコストが削減されて、セキュリティチームは緊急性の高い他の問題に専念できるのです。

デジサートは、拡張性の高い企業セキュリティに求められるPKIの重要性を理解しており、問題点やエラーの可能性を排除する自動化などの機能を通じて顧客の証明書管理を簡素化することに、常に取り組んでいます。

組織は、信頼性の高い運用と機密データの保護をPKIに依存

PKIは、サイバーセキュリティの回復性を重視する多くの組織でバックボーンになっており、電子証明書と公開鍵暗号化を利用してデータセキュリティのポリシーと手続きを実施するプロセスの自動化を実現しています。機密性の高いリソースへのユーザーアクセスを妨げることなく、システム間で接続を認証し信頼できるのもPKIがあるからです。デジサートは、拡張性の高い電子証明書の配備と管理によって、組織があらゆる接続ポイントと、ネットワーク上のデータを保護できるように、堅牢なPKIプラットフォームを構築してきました。

組織は、電子証明書とPKIを利用してさまざまな機能をサポートしていると報告されています。たとえば、以下のような機能です。

  • BYODの安全性:モバイルユーザーエクスペリエンスを悪化させることなく、管理対象外の BYOD デバイスをサポートし、企業リソースへの安全なアクセスを確保します。
  • 認証の安全性: 機密情報を含むアプリケーションに対して、個人を厳密に認証します。
  • リモートアクセスの安全性: ワイヤレスネットワークまたはVPNに対する従業員およびパートナーの安全なアクセスを厳密に認証します。
  • 電子メールの安全性: (英語リンク) エンドユーザーとパートナーが、あらゆる企業のデバイス間で、暗号化され電子署名された電子メールを送信できるようにします。
  • 文書署名の完全性: (英語リンク) クリティカルな文書に対する電子署名の完全性と真正性を検証します。
  • IoTデバイスの安全性:  デバイスの識別情報を明らかにして Root of Trust(信頼の起点)を確立し、機密性の高いIoTデバイスのソフトウェアやファームウェアについて完全性を保証します。

CISOへのインタビューで、PKI への投資が増加している理由が明らかに

あるメーカーでは電子メールとファイル転送システムの脆弱性が特に高く、ランサムウェア攻撃に狙われやすくなっていました。これに対して同社は、2要素認証とクライアント証明書を実装。弱いパスワードを一掃して、メールアカウントの身元を検証できるようになりました。

ある地方銀行は、スマートカード認証を利用するモバイルユーザーのサポートに、PKIを利用していました。フラグメントに伴う問題を抱えたこの銀行は、PKIをアウトソーシングし、40の支店で証明書ライフサイクル管理の合理化に成功しました。

ある技術系メーカーは、クリティカルなリソースへのアクセスを制限するために、デバイスの身元確認、VPNアクセス、そしてゼロトラスト環境のサポートとしてPKIを選びました。

ヨーロッパのある決済処理業者は、デバイスからネットワークへの相互認証を、信頼できるサードパーティで実現するマネージドPKIサービスを利用して、数万単位のPOSシステムデバイスを保護しています。証明書の安全な切り替えにも、PKIが活用されています。

ここにまとめたような事例と調査結果は、デジサートの依頼でIDCが作成したホワイトペーパー、『PKIへの投資が企業のセキュリティの向上とビジネスプロセスの最適化を支援する(原題:PKI Investments Help Organizations Improve Security and Modernize Business Processes』(2019年8月、翻訳の関係で日本語版は11月公開となっております)に掲載されています。こちらからご覧ください

Posted in Encryption, PKI