デジタルトラスト 01-25-2023

寄稿:境界のない今の時代におけるデジタルトラストの確立

Brian Honan
Building digital trust hero image

信頼は、私たちが相手と関係をもつための基盤です。ごく親しい家族や友人でも、同僚や、もう少し範囲を広げた知人、日常的に出会う人々、あるいはいつも関わっているさまざまな企業や組織でも、その点は変わりません。信頼は、私たちの生活や人間関係を管理するうえで重要な礎石になります。物理的な世界では、私たちは他者とのやり取り、物理的なごくわずかのサインや相手の様子を頼りに、あるいは以前から信頼している別の人がその人を信頼しているからという根拠で、信頼を築くことを学んできました。

私たちの多くにとって、信頼は日常生活に欠かせません。この世に生まれ落ち、母親とつながっていたへその緒が切られた瞬間から、私たち一人ひとりの存在は他者に依存しているのです。母親は出産のとき、医師や助産師が決して赤ん坊を取り違えたりしないものと信頼していましたし、その瞬間から、私たちの信頼関係は他者からの確認に基づいて成り立っています。母親は、私たちを自分の子どもとして家族や友人に紹介し、私たちは成長すると今度は運転免許証やパスポートなど政府の身分証明書を取得します。雇用主、銀行、家主、航空会社、警察など多くの人が、政府発行の ID がその ID 所持者のものだと信頼しています。

デジタルの世界でも、信頼の確認を第三者に依存するという点で、信頼に対するアプローチは大差ありません。しかし、デジタルの世界になると私たちの信頼関係は大きく変わります。信頼する対象を人や組織に限定する必要はなく、コンピュータやそのオペレーティングシステム、利用するウェブサイト、個人や職業上のレベルで利用するクラウドサービス、システム、ウェブサイト、アプリケーションも信頼しなければなりません。

この課題は、COVID-19 のパンデミックによって劇的に増大しました。多くの組織がクラウドサービスプロバイダと契約し、中核となる業務システムに組織外からアクセスする方法が増え、スタッフのリモートワークも認めたからです。パンデミックが終わっても、組織のビジネスのあり方で新たに生じたこのようなシフトは元に戻らないでしょう。特に、多くの組織は、ハイブリッドワーカーであれ完全リモートワーカーであれ、リモート業務を今後も信頼してサポートする必要があります。クラウドに移行したシステムはクラウドのままでしょうし、そこではクラウドプロバイダや、クラウドサービスプロバイダ利用するベンダーを信頼しなければなりません。リモートアクセスプラットフォームの保護はこれからも必要であり、リモートアクセスソリューションが安全でないばかりにランサムウェア攻撃の犠牲となった事例は無数にあります。

上記の課題に加え、モノのインターネット(IoT)とスマートテクノロジーの革命も今まさに進行中です。ビルの暖房システムをスマート化して環境管理を改善するなど、スマートデバイスの採用によってビジネスを強化しようとしている今、この革命は組織にとって多くの意味を持ちます。また、生産ラインの効率向上、在庫管理システムの強化など、ビジネスのさまざまな分野でスマートテクノロジーや IoT を活用する組織もあります。そうなると、信頼するデバイス、ベンダー、システムの数は増える一方です。

そのため、制御下にあって信頼できる環境の実現をネットワーク境界に頼ることは、もはやできなくなりました。ネットワークに、定義された境界はなくなったからです。現在のネットワーク境界は、自宅をはじめスタッフが働く拠点や、クラウドサービスプロバイダにまで、そしてモバイルデバイスからシステムにアクセスする人々のポケットにまで広がっており、それが私たちのクライアントやサプライヤーのネットワーク境界と絡み合っています。

このような課題に取り組むには、ゼロトラストモデルを採用するのが最適だという意見が増えてきました。「ゼロトラスト」というのは信頼がないという意味であり、私たちの目標は信頼される立場になることなのですから、率直に言うと私はこの言い方が好きではありません。そもそも、物理的な世界だったら、相手を信頼しないところから対話や人間関係を始めることはありえず、やり取りに応じてさまざまな信頼レベルを想定するわけですから。

信頼を築き、盤石なものとして維持していくときに鍵となる要素が、電子証明書を使用することです。今日その鍵のひとつになっているのが、電子証明書の管理です。従来これはシステム管理者の仕事でした。すべての証明書のプロパティと有効期限を記載したスプレッドシートを使用したり、上級者になると証明書の有効期限が切れる 1 か月前にカレンダーでリマインダーを設定したりしていました。

しかし、今日のような規模が大きく複雑な環境になると、このような方法では対応しきれません。信頼関係を管理するために、電子証明書を採用することが増えています。私たちは、完全にはコントロールしきれないプラットフォームでシステムを動かし、クラウドから提供されるサービスにアクセスしますが、そのサービスを管理しているのはサードパーティかもしれません。また、自宅、コーヒーショップ、ホテル、ワークハブなどの場所からスタッフがリモートで業務に就いています。

各種のデバイスやシステム、プラットフォーム、環境に導入された証明書を包括的に管理し可視化する機能がなければ、不正な証明書、予期せぬ PKI の停止といった結果につながり、安全な環境に脆弱性が発生したり、コンプライアンスの問題をもたらしたりします。このような問題はすべて、私たちが証明書に置く信頼の低下につながりかねません。

デジサートの「2022 年デジタルトラストの実態調査」では、PKI ソリューションと証明書に対する信頼が失われた場合に企業が受ける影響の大きさを取り上げています。このレポートによると、業務に対する信頼がなくなったら他社に乗り換えると答えた顧客が 84%にのぼります。つまり、組織はすべての電子証明書の資産を管理するために、可視化、自動化、ツールが向上するソリューションを採用する必要があるということです。

信頼は、とても貴重なものなのです。信頼を確立し維持していくには長い時間がかかりますが、信頼を失うのは一瞬ということもあります。競合他社にクリックひとつで乗り換えられる世界で、組織は顧客、スタッフ、ステークホルダーから委ねられたデジタルトラストを大切にし、保護しなければなりません。デジタルトラストを戦略的な至上課題として扱い、組織全体で信頼に対処することが重要です。PKI サービス、パブリックトラストの発行、証明書ライフサイクル管理を一元的にオーケストレーションできる、統一的な信頼管理のアプローチをお考えください。

UP NEXT
S Mime

S/MIME での CAA の採用を検討 

5 Min