境界のない組織を特徴とする今日の環境にあって、ID およびアクセス管理(IAM)チームが直面する複雑さは加速しています。IAM チームが対処しなければならない一般的なユースケースのひとつが、セキュリティを損なわない形での Wi-Fi および VPN ネットワークの認証です。ほとんどの従業員は、会社支給のコンピュータと個人のスマートフォンなど、各人で 2 台以上のデバイスを所持しています。IAM チームはどうすれば、このような大量のユーザーとデバイスを安全に認証できるのでしょうか。しかも、ハイブリッドワークモデルへと急速に変化しつつあり、世界中にリモート従業員を抱える環境においてです。
それだけでなく、すべての従業員とすべてのデバイスがシームレスにアクセスできなければなりません。つまり、当たり前のように使えるユーザーエクスペリエンスです。あたかも、バスケットボールのカリーム・アブドゥル=ジャバー元選手がスカイフックシュートを決めるように。あるいは、エディ・ヴァン・ヘイレンがギターソロを奏でるようにです。
実際は、少し違います。アブドゥル=ジャバー選手が相手にしていたのは、バスケットボールだけ、せいぜい数人のディフェンスだけでした。ヴァン・ヘイレンは、自分のサインを考えるとき、何百万人ものファンを想定する必要はありませんでした。IAM チームに、そのような贅沢は許されていません。2023 年現在の企業ネットワークの複雑さは、宇宙ほどではないかもしれませんが、それに迫りつつあります。デジサート CEO、Amit Sinha が最近のウェビナー「DigiCert® Trust Lifecycle Manager の発表」で述べたように、IAM チームはきわめて複雑な状況に直面しています。「企業のユーザー、資産、データを守るために必要な認証は、数量も手法も急速に増加している」からです。
これは、お客様の声からもわかります。たとえば、IBM はあらゆるタイムゾーンで 30 万人以上の従業員を抱えていると、IBM でチーフアーキテクト兼戦略的責任者を務める Weibo "Weber" Yuan 氏は同じウェビナーで述べています。「従業員の上に日が沈むことはなく、接続が必要なデバイスの数は膨大です。そのなかには、Windows、macOS、Linux、iOS、Android を含むあらゆる種類のものが混在しています」
にもかかわらず、IBM や、デジサートの他のお客様は、安全な認証とシームレスなアクセスというこの魔法のような組み合わせを見事に実現しています。Yuan 氏の言葉を借りるなら、「我々は公開鍵基盤を透明な公開鍵に変えた」のです。言うまでもなく、何かをシンプルにするのは決して容易なことではありません。では、IBM をはじめとするデジサートのお客様は、私たちが「透明な認証」と呼ぶものをどうやって実現したのでしょうか。
基本的なステップは次の 3 つでした。ひとつずつ紹介しましょう。
企業の大半は、VPN や Wi-Fi へのアクセスを提供するとき、いまだにパスワードベースの認証に頼っています。デジサートの事業開発担当シニアディレクターである Dean Coclin は、パスワードの使用が望ましい戦略ではない理由を次のように考察しています。
Coclin がブログ記事で述べているように、92% もの IT プロフェッショナルが、組織はパスワードレスシステムに移行する必要があると考えています。それを最もわかりやすく実現できるのは、IAM チームがセキュリティパラメータを設定できる電子証明書を使う方法です。ただし、VPN や Wi-Fi へのアクセスに電子証明書を利用するだけでは不十分です。特に、エンドユーザーが電子証明書をインストールすることは期待できません。デジサートのある顧客は、電子証明書のインストールを任意としておくと、従業員が電子証明書を使用する率は 1 桁台前半にとどまることを発見しています。
驚くことではありません。従業員は、セキュリティに関心があっても、認証の保護に必要な証明書を理解して管理できるだけの IT スキルを持ち合わせているとは限らないからです。これでは良好なユーザーエクスペリエンスを達成することはできません。
代わりに必要なのは、各自のデバイス上で電子証明書を管理するという責任から従業員を解放し、証明書に関する問題に専念する専門家の手に委ねることです。パスワードベースの認証から証明書ベースの認証への移行が、最初のステップです。では、どうすればシームレスに移行できるでしょうか。ステップ 2 に進みましょう。
あらためて、当たり前のことを繰り返します。規模にかかわらず、どんな組織でも電子証明書を手作業で管理する余裕はありません。起こりうる人為的ミスに伴うセキュリティリスクは、あまりにも大きいからです。たとえば、Equifax でのデータ侵害で証明書ライフサイクル管理(CLM)の不備が露呈したのは特に大きな事件でした。
IBM が扱う 100 万以上のクライアント証明書の何分の一かでも管理しているのであれば、自動化が不可欠な手順であることはご存じでしょう。NIST SP 1800-16 フレームワークで自動化が中心になっているのも当然です。NIST は次のように述べています。
自動化しなければ、VPN や Wi-Fi へのアクセス認証に使用されるデバイス証明書の急速な増加を前に、IAM チームはそれを管理するどころか、その量に対応することすらできません。たとえば、従業員に関するライフサイクルには、以下のプロセスがあります。
これらのプロセスを自動化すれば、100% の導入率を達成し、ユーザーエクスペリエンスの向上を図ることができます。新しいリモート従業員が VPN にアクセスするときにトラブルが起きないか、と心配する必要はもうありません。アクセスを管理する証明書は、その従業員が使う機器とあわせて自動的にプロビジョニングされるからです。その社員に問題がなければ、証明書は有効期間内に自動更新されます。そして、その従業員が退職するときには、同じ証明書が直ちに失効し、ネットワークにはアクセスできなくなります。
自動化すれば、IAM チームは、Wi-Fi や VPN へのアクセスに使われている電子証明書が厳格な企業ポリシーに準拠していることも確認でき、証明書や証明書グループが危殆化した場合には、ほとんど瞬時に交換することができます。自動化は、IT サポートの負担を軽減するだけでなく、セキュリティ体制と速やかな修正対応の向上にもつながります。
効果的な自動化戦略は、企業の IAM ツールおよびシステムとの統合にもかかっています。UEM または MDM ツールを使ってネットワークに接続する個人のスマートフォンはどうでしょうか。あるいは、従業員が使うアプリケーションとの末端までの統合はどうでしょう。
言い換えるなら、Wi-Fi や VPN への透明なアクセスを実現するには、証明書管理がいっそう重要なのです。確実に機能させるには、システムを以下のものと統合する必要があります。
従来の証明書ライフサイクル管理(CLM)ソリューションも、その多くは複数の統合機能を提供すると謳っているものの、通常は追加のコストがかかり、導入の際には専門サービスが必要です。また、最新の状態に保つにはサードパーティとの契約が必要になります。それ以上に重要なのは、こうしたレガシーソリューションが IAM のユースケースに適していないことです。IAM プラットフォームと統合されていないため、ユーザー証明書の証明書ライフサイクルを想定した設計になっていないからです。
透明な認証を大規模に提供するときに必要な自動化と統合を達成しようとしても、DIY レベルではまず実現できません。そこで登場するのが、DigiCert Trust Lifecycle Manager です。Trust Lifecycle Manager には、次のような機能があります。
IBM の Yuan 氏は、デジサートとのコラボレーションで実現したメリットについて次のように語っています。
アブドゥル=ジャバー選手やヴァン・ヘイレンの全盛期と違って、Wi-Fi や VPN へのアクセスを合理化する作業は、見ていて楽しいものではないかもしれません。しかし、セキュリティ向上を果たしつつ、従業員がネットワークに簡単にアクセスできるようになれば、それだけで無上の喜びになるといえます。
DigiCert Trust Lifecycle Manager は、CA に依存しない証明書ライフサイクル管理、プライベート PKI サービス、パブリックトラスト発行を統合してシームレスなデジタルトラスト基盤を確立できる、フルスタックのデジタルトラストソリューションです。証明書全体に対する可視性とコントロールを集中化し、障害や人為的ミス、未管理の暗号化資産などによるビジネス中断のリスクを軽減し、幅広い IAM ユースケースをサポートする自動化と統合によって ID およびアクセスの安全を確保します。
詳しくは、https://www.digicert.com/jp/trust-lifecycle-manager を参照してください。