PKI (公開鍵基盤) 01-28-2022

ゼロトラストの基盤としてのPKI

Dr. Avesta Hojjati

ネットワークのセキュリティを確保することはこれまで以上に困難であり、今後も容易ではありません。組織は、何十万ものデバイス、ユーザー、システム、アプリを管理しなければなりません。つまり組織には、何十万もの潜在的な脆弱性があるということです。しかし、たった1つのパスワードの漏洩がネットワーク全体を停止させる可能性があります。例えばたった1つのパスワードの漏洩が広範囲な燃料不足を引き起こした米国最大のパイプラインであるColonial Pipelineや、パスワードの漏洩によりホスティング会社の100万人以上の顧客のデータが脆弱になったWordPressなどの事例があります。

このように、攻撃者からネットワークを守るためには、"never trust, always verify "(決して信頼しない、常に検証する)というゼロトラスト(Zero-Trust)の考え方が有効になってきています。2021年、バイデン政権は「国家のサイバーセキュリティの改善(Executive Order 14028)」という米国の大統領令を発表し、連邦政府がゼロトラスト方式に移行することを求めています。米国防総省は、2021年12月に立ち上げたゼロトラスト専門のオフィスを発表し、変更を行った最初の米国政府組織です。米国防総省の上級情報セキュリティ担当者は、「ゼロトラストは、我々のネットワークに侵入する可能性のある人々を検知するための、唯一のソリューションだと考えています」と説明しています。

ゼロトラスト・ネットワークでは、デフォルトですべてのアクセス要求の検証が必要です。「決して信頼しない」ネットワークでは、検証可能な強力なデジタル・アイデンティティが、ゼロトラストのインフラを構築する鍵となります。しかし、組織はゼロトラスト・モデルを導入する前に、適切なセキュリティソリューションを導入しておく必要があります。ゼロトラストを実現する最も簡単な方法の1つは、公開鍵基盤(PKI)を導入することです。PKIは、デバイス、ユーザー、システム、アプリケーションを一意に識別する方法を提供してきました。この記事では、ゼロトラストとは何か、そしてPKIがどのようにそれをサポートできるかについて、さらに詳しく説明します。

ゼロトラスト・アプローチとは何か?

前述のように、ゼロトラストは、ネットワークにアクセスする際に常に認証が必要なセキュリティアプローチです。言い換えれば、ゼロユーザー、デバイス、システム、サービスが自動的に信頼され、ネットワークに接続するものはすべて検証されなければなりません。さらに、ユーザーやデバイスがネットワークに接続するたびに、再度検証する必要があります。ゼロトラスト・アプローチでは、IPアドレスに基づいてデジタル・アイデンティティを検証するのではなく、PKI、MFA(多要素認証:Multi-Factor Authentication)、シングル・サインオン(SSO)などの適応性のある認証方法に基づいて、デジタル・アイデンティティを定期的に検証する必要があります。

ゼロトラストの主なメリットは、セキュリティリスクの軽減ですが、その他にも、セキュリティスタックの複雑さを軽減したり、侵害を検知するまでの時間を短縮したりすることができます。ゼロトラストの概念は、1994年にStephen Paul Marshによって提唱されましたが、ゼロトラストのアーキテクチャモデルは、2010年にJohn Kindervagによって作成されました。10年経った今、リモートワークやクラウドへの依存度の高まりなどのトレンドにより、組織はこのシステムを採用しています。

ゼロトラストのトレンドを推進しているのは何か?

SolarWinds社の事例のような攻撃の増加だけでなく、ゼロトラストへの移行は、リモートワーク、クラウドの導入、デバイスの導入の増加によって促進されています。リモートワークでは、ネットワークに接続するデバイスの数と、リモートで接続するユーザーの数が増えています。さらに、クラウドソリューションにはゼロトラストが必要です。というのも、ネットワークインフラは、もはやオンプレミスだけではなく、完全にクラウド化されているか、より多くの場合はハイブリッドアプローチとなっており、より安全な態勢が求められるからです。ゼロトラストは、追加の認証手段を提供することで、ハイブリッド環境の安全性を高めることができます。しかし、ゼロトラストへの切り替えは、一朝一夕にできるものではありません。これは、組織が徐々に採用し始めているプロセスです。

ある調査によると、約3分の1の組織がすでにゼロトラスト戦略を採用しており、60%の組織が来年中に採用する予定です。しかし、ゼロトラスト戦略をサポートする適切なセキュリティソリューションを持つことが重要です。そこで重要な役割を果たすのがPKIです。

PKIとゼロトラストの相性

ゼロトラスト・アーキテクチャを実現するには、安全な方法でアイデンティティを確認することが必要です。PKIは、さまざまなユースケースでデジタル・アイデンティティを提供する実証済みの方法です。ログインソリューションを提供し、ゼロトラスト内のアイデンティティの基盤を形成することができます。

PKIは、ゼロトラスト環境のあらゆる側面をカバーするものではありませんが、必要とされる認証と信頼のための強力な基盤を提供します。実際、ITセキュリティ担当役員の96%が、ゼロトラスト・アーキテクチャの構築にはPKIが不可欠であると考えています。これは、PKIがゼロトラスト・モデルに必要な認証、暗号化、完全性を提供するためです。

PKIは以下を提供します。

  1. ネットワーク上のすべてのユーザーやデバイスのアイデンティティを認証
  2. 組織内のすべてのコミュニケーションの暗号化
  3. データおよびシステムの完全性:ユーザー/デバイスとの間でやり取りされるデータの完全性を維持することにより、信頼性が高く、スケーラブルでアジャイルな方法で証明書を発行、失効、交換するための自動化ツールの提供

ゼロトラスト・セキュリティの一般的な選択肢は、単にMFAを使用することですが、SolarWinds社へ行われたような攻撃は、それが回避され、悪用される可能性があることを示しています。そのため、PKIとMFAを併用することは、ゼロトラストを実現するためのより安全な方法の一つです。

自動化と可視化が必要

自動化されたPKIは、ゼロトラスト施策をサポートすることができる柔軟なソリューションです。証明書の数が増加する中、自動化によりPKIインフラの管理が容易になります。さらに、アプリケーションの更新、従業員の入社・退社、アクセスの移動なども常に必要です。手動での管理は作業量が多く、ヒューマンエラーや潜在的な脆弱性が発生する可能性が高くなります。

さらに、ほとんどの自動化ソリューションには、証明書資産の可視性を高める機能が付いています。検証が常に必要な場合、ネットワーク上のすべてのデジタル証明書を把握することは、単に知っているというだけでなく、非常に重要なことだからです。未知または発見されていない証明書があると、ネットワーク全体が脆弱になる可能性があります。

なぜデジサートなのか?

デジサートは長年にわたり、企業向けのデジタル証明書を提供するリーディングカンパニーです。デジサートは、TLS/SSLとPKI、そしてウェブやIoT向けアイデンティティ、認証、暗号化のソリューションを提供しています。デジサートのEnterprise PKI Mangerは、PKIをサービスとして提供することで、IT部門は認証局の運用ではなく、顧客に集中することができます。またデジサート社は、増大する証明書管理の負担を軽減するための自動化ソリューションも提供しています。

さらに、デジサートでは、ゼロトラスト・アーキテクチャを導入した経験があり、何十万人ものワーカーや接続ポイントを持つ大きな組織のアイデンティティとアクセス管理を簡素化するという課題を理解しています。デジサートは、アイデンティティとアクセス検証のために、証明書のライフサイクルを一元管理し、自動化されたワークフローで証明書ベースのアクセスセキュリティを構築することができます。

最後にデジサートは現在、ゼロトラスト・コンソーシアムで国立標準技術研究所(NIST)と協力し、最新のベストプラクティスを使用するゼロトラスト・アーキテクチャの例を作成しています。

デジサートのエンタープライズPKI証明書管理プラットフォームについての詳しい情報は、https://www.digicert.com/jp/pki/enterprise-pki-managerをご覧ください。

UP NEXT
ニュース

TLS/SSLの最新ニュース: 2021年のレビュー

5 Min

特集記事

クラウド上で量子コンピュータをいかに保護するか

NIST PQC アルゴリズムに関する詳細な説明

従来の PKI がもたらす割高な機会損失