自動化 05-09-2024

証明書管理をいかに自動化するか、それはなぜか

Jeremy Rowley
Automate Blog Hero Image

今や、自動化はいたるところに存在します。

ロボットタクシーが乗客を空港まで運び、ロボット収穫機がブドウを摘み取っています。レントゲンや MRI の結果を人工知能(AI)が解釈するようになりました。

私たちの住宅も自動化されています。冷蔵庫は食料の在庫を管理し、レシピを提案してくれます。ロボット掃除機は室内のレイアウトを記憶して動きます。水まきシステムは、天候と土壌の含有水分を監視しながら、水を無駄にせず芝生の緑を保ちます。

サイバーセキュリティは、これまで常にデジタル空間の中に存在してきたので、セキュリティの世界でも自動化が進んでいるのは当然のように思われています。実際、デジタルセキュリティを自動化するなら、今ほど適した時期はありません

だからといって、どんなタスクにも自動化が適しているわけではありません。今までどおり人間の手に委ねたほうがいい部分もあります。

では、デジタルセキュリティのうち、どの手動プロセスを自動化し、どの手動プロセスをそのまま残すべきか、どう判断すればいいのでしょうか。その判断に役立つように、証明書管理の自動化に関するガイドをまとめてみました。

証明書管理を自動化する理由

証明書管理は自動化が特に適している領域です。日常的な作業を自動化することで人間にとって楽になるだけでなく、証明書管理の自動化はセキュリティにとっても恵みになります。

なぜかというと、ひとつには電子証明書の数が爆発的に増えており、証明書関連の停止というリスクが増大しているからです。証明書に起因する停止が起これば、企業の収益損失を招くだけでは済みません。企業の評判に大打撃を与え、コンプライアンス違反に伴う罰金や法的措置につながる恐れさえあります。

証明書の有効期間も短くなっており、スプレッドシートでは追跡が難しくなっています。Web上の脅威は日を追うごとに巧妙になっており、量子コンピューティングは今後数年のうちにアルゴリズムを破り始めるかもしれません。

自動化の対象

最初に自動化すべき対象は、人による管理がかなり必要な反面、意思決定はそれほど必要としない反復的な作業です。また、時間的な制約があり、休暇中でも対処しなければならない業務も自動化の対象として最適です。

一般的には、以下のような更新やタスクを自動化することをお勧めします。

  • 反復的かつ手動で行っている
  • 量が多い
  • 人為的ミスが起きやすい
  • 複数の人に依存している
  • 時間的な制約がある
  • 監査上の制約がある

自動化すべき証明書管理タスク

自動化による効果を期待できそうな証明書管理タスクの内訳は次のとおりです。

申請と更新

証明書の更新や新規申請は、手間のかかるプロセスです。このプロセスを自動化すれば、時間の節約になるだけでなく、証明書を手作業で追跡するときの心配事がなくなり、計画外の停止も回避できます。自動化は、毎年何千時間もの作業時間の削減につながるため生産性が向上し、IT チームのメンバーはもっと戦略的な取り組みに専念できます。

検証と承認

電子証明書の検証とは、ドメイン、組織、または個人を確認するプロセスです。事前検証と証明書の自動更新によって、今後は証明書の発行と更新をほぼ瞬時に実行できます。

アラート

特定のイベントに関するアラートを自動化すると、常に証明書管理のスピードを保つことができます。セキュリティの強化、人為的なミスの削減、サービス中断の防止、拡張性の向上、コンプライアンスの維持などが実現します。

可視性とレポート

適切な検出ツールがあれば、ネットワークにおける潜在的なリスクや脆弱性を見つけるのは容易です。問題が見つかっても、証明書の更新とインストールを自動化していれば、ネットワークの脆弱性を迅速かつ効率的に解決できます。単に攻撃を防ぐだけでなく、セキュリティに対するプロアクティブなアプローチを示すことで、顧客の信頼を獲得し、収益を保護することになります。

失効

誤って発行された証明書を速やかに失効させ、交換することは、証明書の完全性を確保するうえで不可欠です。自動失効ソリューションは、必要とされる証明書の失効を特定するプロセスを簡素化し、影響を受ける全証明書の失効を自動的にスケジュールします。

他のプラットフォームとの統合

証明書管理を単一のプラットフォームに統合すると、ワークフローが簡素化され、ACME URL や API を介した情報の検索が容易になります。

デジサートではたとえば、REST プロトコルを介して API を使用することで、証明書管理の自動化を既存のシステムに簡単に統合しています。そうすれば、次のような操作が可能になります。

  • 証明書の注文を Web 開発プラットフォームに統合する
  • 証明書ライフサイクル管理をヘルプデスクのインフラストラクチャに組み込む
  • 証明書の自動更新をアプリや製品に追加する

デジサートはまた、複数のプロバイダと直接統合するためのプラットフォームを通じて、設定済みのセンサーも利用可能にしています。この共通センサーインターフェースは、柔軟性を考慮して設計されており、ロードバランサーなどのシステム上での自動化に対応します。

コードサイニング

コードサイニングを自動化すると、開発プロセスを迅速に進められるうえに、スタッフの数も抑えることができます。コードサイニングマネージャでは、次のような操作が可能です。

  • 組み込みの API 統合によってコードサイニングを自動化。
  • 安全なリリースとアップデートのために署名ウィンドウを事前計画し、承認。

そして、DigiCert Software Trust Manager のようなソリューションを使用すれば、CI/CD パイプラインの全体で PKI セキュリティが自動化され、管理されます。その一環として、許可されたときにマスターブランチにマージするたびに、パッケージ、バイナリ、コンテナに対する署名が自動的に行われ、製品やインフラストラクチャの完全性と信頼性が促されます。

自動化に適していない証明書管理タスク

こうなってくると、電子証明書管理のあらゆる側面を自動化したくなるかもしれません。しかし、引き続き人間の介入が必要な要素はあります。あくまでも大まかな目安ですが、タスクに関して重要な決定が必要であり、しかもその決定がタスクの実行方法に影響する場合は、自動化しないでください。

証明書に関連する以下のようなタスクは、すべて優秀な人間の手に委ねるのが理想的です。

顧客サポート

顧客は、本物のサポートと、電話やチャットによる自動応答の違いを見分けるものです。いつも自動化を絶賛しているデジサートでも、受賞歴を誇る当社のサポートスタッフが 365 日 24 時間体制で対応しています。

ROI の低いタスク

どんなに単純なタスクでも、自動化には初期投資が必要です。そのうえで、チームは自動化ツールの習得とプロセスの構成に時間も投入しなければなりません。このような理由から、投資収益率(ROI)の低いタスクは、あまり自動化する意味がないのが普通です。ボリュームの大きくない、単発的なプロジェクトは概して、手作業のほうが適しています。

特に複雑なプロセス

ある種の複雑なプロセスは、自動化するには込み入りすぎています。意思決定や複数回にわたる承認が必要なプロセスの場合、自動化によって効率が損なわれます。

自動化はいつまで先送りできるか

答えは単純です。先送りはできません。証明書管理の自動化にまだ投資していないとしたら、組織としてすでに後れをとっていることになります。

最大の理由のひとつは、前述した量子コンピューティングです。現在のセキュリティ処理の基盤を支えている従来の非対称アルゴリズムが、暗号解読に適した量子コンピュータ(CRQC)によって破られる日は、間違いなく訪れます。

耐量子暗号(PQC)を実装して暗号化の俊敏性を備えれば、組織の安全を守ることができます。しかし、この移行への第一歩は、証明書、アルゴリズム、その他の暗号資産の総整理です。それも、適切な証明書管理ツールがなければ、中小規模の企業ですらまず不可能です。証明書のライフサイクル管理を自動化することで、暗号化の俊敏性が現実的になります。

デジタルトラストに関する最新情報

自動化TLS/SSL 証明書管理耐量子コンピュータ暗号などのトピックについて詳しくお知りになりたい場合、記事を見逃さないようにデジサートのブログを参照してください。

UP NEXT

特集記事

AI、量子コンピュータ、デジタルトラストが形成する来年のトレンド 10 選

耐量子コンピュータ暗号に向けた取り組みの現状を追う

FIPS 203、204、205 発表以降の PQC の最新情報

10-31-2024

DigiCert Device Trust Manager の一般提供を発表