自動化 10-08-2021

PKI自動化の欠如に圧倒された企業について - DIGICERTの調査

David Bisson

2021年8月、デジサートは「2021年PKIオートメーションの現状調査(英語版)」を発表しました。本レポートでは、北米、EMEA、アジアパシフィック、ラテンアメリカの従業員数1,000人以上の企業400社のITディレクター、ITセキュリティマネージャー、ITゼネラリストの回答を掲載しています。これらの回答は、中小企業や大企業がユーザー、サーバ、モバイルデバイスの電子証明書をどのように管理しているかを示しています。

増加する証明書

デジサートの調査では、3つの重要な発見がありました。まず、一般的な企業では、ユーザー、ウェブサーバ、モバイルデバイス、電子メール用に50,000以上の証明書を管理していることがわかりました。この調査では、企業が管理するパブリック証明書の数がプライベート証明書よりも、1.3倍多いことも明らかになりました。これは、調査対象者の中にサーバサイドの証明書を管理しているIT担当者が含まれていることが影響していると思われます。

デジサートの「2021年PKIオートメーションの現状」調査

この成長の背景には、いくつかの要因があります。まず、2020年には人々が自宅で仕事をするように変化し始め、企業はその増加に対応するためにサービスの規模を拡大し始めましたが、デジサートはそこに信頼されるサービスを提供することで成長しました。

第二に、組織がデジタルトランスフォーメーションを継続する中で、ユーザー証明書と一般証明書が増加していくのを目の当たりにしました。これらの道のりには、クラウドへの移行や、証明書が従来の PKI と同じ方法で管理されないDevOps展開の実装などが含まれます。また、多くの企業がゼロトラスト(何も信用しない)環境を展開しようとしていることも追い風となっており、PKIはその枠組みを実現するための強力な認証手段となっています。

問題は、この成長が組織を圧倒していることです。組織はPKIをゼロトラスト、デバイス認証CI/CD (継続的インテグレーション/継続的デリバリー) パイプラインにまで拡大しています。多くのものがPKIを使用していますが、これらの展開を効果的に統合・管理する標準的な方法は多くありません。証明書を消費しようとするこれらの環境には、機能的になるための道筋がないというわけではありません。それは、次のステップとして、可視性を実現し、ポリシーを実施するための中心的な方法を導入することです。それでも、組織は圧倒されていると感じています。理解しなければならないことがたくさんあり、変化が起きたときに対応するのが難しいのです。そのため、組織は PKIの自動化を導入する必要があります。

証明書の停止は当たり前

自動化されていない組織は、PKI証明書の管理に圧倒されてしまう可能性があります。そうなると、証明書の可用性を確保できない可能性があります。多くの組織がワークロードの管理に苦労しているという証拠があります。実際、デジサート社の調査によると、3分の2の組織で証明書が予期せず期限切れになった後に、停止を経験しており、25%の組織が2021年前半に最大6回の停止を経験しています。

デジサートの「2021年PKIオートメーションの現状」調査

証明書が停止する、最も一般的な原因の1つは、PKIの誤った設定です。前述したように、組織が環境全体にPKIを展開する標準的な方法を持っていないことが多いという事実には、複雑さがあります。人々が自宅で仕事をすることを受け入れ、快適ではない新しい場所で仕事をするように変化したため、セキュリティ担当者が証明書を適切に設定せず、攻撃者がインフラに侵入するためのルートを提供してしまうことがあります。

だからこそ、集中管理が重要です。組織はより多くのPKIを使用しようとしているので、それを助けるガードレールがあれば、物事を容易にすることができます。

視認性の欠如さに対する懸念

設定ミスは、証明書を管理するために必要な時間と可視性を確保するという、より大きな問題の一部です。実際、調査回答者の3分の2近くが、証明書の管理にどれだけの時間を費やしているかについて非常に懸念を持っていることが明らかになりました。また、証明書管理に特化したリソースの数も課題となっており、調査参加者の37%が3つ以上の部門を使用していると回答しています。その結果、混乱と非効率が生じ、一般的な企業では1,200もの証明書が管理されていないことがあります。さらに、回答者のほぼ半数(47%)が、ITチームの目の届かないところで誰かが実装した、いわゆる「不正な」証明書を頻繁に発見していると回答しています。

デジサートの「2021年PKIオートメーションの現状」調査

PKIは全ての入り口から環境に入り込むことができるので、組織はPKI証明書に対する可視性を欠いています。人事担当者は、ルーターの購入、電話機の配備、ソフトウェアの導入、CI/CDによるDevOpsの実行、独自のアプリケーションの作成、そしてユーザーがラップトップやモバイルデバイスを持てるようにしています。これらの資産はすべて、証明書の導入や管理方法が異なり、その多様性が組織の可視化を困難にしています。

今後の調査結果にご期待ください。

今回は、デジサートの調査に関する3回のブログシリーズの第1回目です。次の記事では、PKIの自動化に焦点を当て、組織がこの旅にどのように取り組んでいるかを紹介します。

UP NEXT

特集記事

クラウド上で量子コンピュータをいかに保護するか

NIST PQC アルゴリズムに関する詳細な説明

従来の PKI がもたらす割高な機会損失