デジタルトラストの実現について課題を感じておられる方は、ここ数年、企業がさらに困難な状況に直面している事を実感しています。リモートワークへの移行作業から、増大する多岐にわたる攻撃への対応に至るまで、ネットワーク、IAM、SecOps チームはより多くの問題に対処しつつ、大規模で迅速な変革を行うよう迫られています。
たとえば、PKI 証明書の場合、こうした変化や複雑性の増大は、セキュリティ対策で遅れを取らないことがいかに難しいかを浮き彫りにしました。特に、ツールとプロセスが今日の状況に対応していない場合にそう言えます。
デジサートは、PKI 証明書の運用を担当するマネージャー達とここ数年間議論した中で、現実世界でデジタルトラストを実現するためには何が必要なのか尋ねています。以下は、その詳細です。
*2021 デジサート調査
「真夜中に呼び起され、サービスが停止されていることを知らされて嬉しい人はいません」。
セキュリティ対策では利益相反が生じるため、綱引きのような主導権争いが起こります。このソリューションやサービスをどう強化できるか。予算はどれくらいか。日程にどの程度余裕があるか。すべてが機能し、継続的に稼働することをどう確認するか。また、タイトなスケジュールになれば、人員リソースの増加が必要になります。しかしながら、こうした対応は予算を圧迫することになり、チームは片方に目を向ける事になり、もう一方に注意を向ける事ができません。
それに加え、予期せぬイベントが絶えず発生するため、日々の業務が計画どおり進むことはほぼありません。ここで、綱引きが消火活動に変わるのです。ネットワークチームが経験する予期せぬ停止。認証チームが経験する退職した従業員の手動削除。こうした消火活動にあたればあたるほど、他のプロジェクトに割く時間が削られてしまうのです。管理しているすべての領域において機能向上を図り、能動的なソリューションを運用しようとする最中、セキュリティが後手に回るタスクになってしまいます。
有効期限の短縮により、監視と更新の頻度が増加
インフラの拡張により、ネットワーク IT 担当者が把握しないまま発行された証明書が増加
「理想は、すべてがコモディティ化されることです。何かが不適切だった場合は、修正が自動的に実装されて、完了の通知のみを受け取りたいです。」
人材は一番の資産ですが、人は眠る必要がありますし、ミスをすることもあります。それぞれの教育や経験、スタイル、技術的な直感も異なります。手作業を要する業務を管理するということは、他の業務に割り当てられる時間を奪い、チームにかなりの負担を強いることになります。
大規模で複雑なインフラを管理しているチームにおいても、現在もエクセルと電子メールによる管理をしている場合も多いのが現状です。営業時間内に起きた問題に迅速に対応した場合でさえ、サービス停止、作業の中断、顧客または従業員のユーザーエクスペリエンスの低下につながります。
この解決策は自動化を導入することですが、多くの自動化ツールは、単体の証明書管理で、証明書環境の重なりに過ぎません。こうした外部ベンダーおよび CA(認証局) に依存しないソリューションでは、セットアップが必要になります。また、コストが高く、ワークフロー機能が限定されていることが多々あります。カスタマイズされた API を作成して統合する場合や、さまざまなユースケースを管理するために複数のソフトウェアを必要とする場合、チームへの負担はなくならず、別の領域に移し替えられるだけです。これも、綱引きのもうひとつの例です。
無償の CA の機能はきわめて限定的で、DIY PKI では、変化するニーズに応じた更新が困難
現時点では、証明書停止からの業界標準復旧時間は時間単位で、分単位とは程遠い
「スマートテクノロジーについて面白いことは、スマートだったのにいきなりそうでなくなることがあることです。」
実際の利用となると、あるチームの管理要件は、別のチームの要件とは異なります。証明書が機能するためには、自分のユースケースとチームに合ったソリューションが求められます。しかしながら、管理、自動化、通知、統合のニーズを満たすソフトウェアソリューションを探す際に明らかになることですが、多くのソリューションは約束どおりの機能を提供しておらず、あるいは一部の機能しか提供していません。
そのため、複数の証明書管理ツールと CA(認証局) を購入しないかぎり、断片的なソリューションを導入して独自のツールとプロセスを構築せざるを得ません。予算に余裕がないことや、ニーズに合った既に構築されたシステムが見つからないことが多々あるためです。そうは言っても、DIYによる独自のソリューションの構築には時間がかかり、適切に管理されなければなりません。証明書の場合、社内 CA を導入するには正しい設定のための十分な PKI の専門知識を必要としますが、自動化ではこれが提供されません。これは、管理の面でチームの作業負荷が増すことを意味し、今後多くの問題が発生する可能性があります。
CA に依存しない管理ソフトウェアは、統合された信頼性と回復力を提供しない
チーム特有のニーズに応えるワークフローをベンダーソリューションが提供することはほとんどない
「企業は成長しながら予算削減を目指しているため、より少ない予算でより多くを達成するための創意工夫が必要です。」
ここ数年で脅威は増大しているにもかかわらず、多くのチームは、対応を要する脅威の件数に見合うだけの予算と人員の拡充を割り当てられていません。そうした状況下で、能動的な処置、リスクの軽減、運用の合理化を望みどおりに行うのは、ほぼ不可能になっています。
同時に、デジタル環境はますます拡大そして複雑化しています。これは、個別の企業においても例外ではありません。毎日、より多くのモノが接続されています。チーム間、社内または社外の境界線は、近年あいまいになってきています。ひとつのプロセスがどこで終わって、別のプロセスがどこで始まるのかがわかりにくいことがあります。証明書が増えるということは、管理の手間も増えることを意味します。時間のかかる手作業のプロセスでは、何かを見逃してしまうリスクが高くなります。脅威が増大し、接続の複雑性が増す中、こうしたリスクの上昇は、チーム内の問題にとどまらず、企業全体に対する脅威へと発展してしまう恐れがあります。
2023 年度の IT 予算の伸びはインフレ率の伸びを下回る見込み
近年 IT リーダーは、テクノロジーの取り組みを阻む最も重大な障壁として、有能な人材不足を常に挙げている
現状から言える事は、大規模な企業において証明書管理の考え方とプロセスを変革する必要性です。複雑性が増し、PKI の利用ケースや脅威の件数が増加する中で、ネットワーク IT、SecOps、IAM を問わず、あらゆるグループに対して 365日24 時間を通して一貫した信頼を実現するソリューションが必要になります。そして、それらのソリューションは机上の空論ではなく実際に機能することが求められます。
各チームマネージャーとの対話により、証明書ソリューションには下記の特徴が必要であることが明らかになりました。
すべての証明書を発見し、一覧化するための統一された記録帳をお持ちですか?
問題を適切なチームメンバーに通知するための、信頼できるマルチチャネルシステムはありますか?
自分でソフトウェアをコーディングしたり、ライセンス供与したりする必要がない、強固な統合ソリューションを保有していますか?
ITに関する離職率は過去 5 年と比較して低くなっていますか?
CA ログインの回数は簡単に追跡できますか?
ご利用の PKI インフラを支えるベンダーは 2 社未満ですか?
IAM とネットワークチームとの間のセキュリティ連携は良好ですか?
過去数年間で、新たなデジタル化ソリューションやプロセスを削減しましたか?
自己署名で管理されたプライベート CA またはプライベート PKI から脱却するためのソリューションを新たにセットアップしましたか?
ネットワーク、デバイス、ユーザーの自動化を行っていますか?
適切な対応がないと、証明書管理が時代遅れになってサービス停止等のリスクが高まります。
情報技術(IT)世界が何年も前から呼んでいた、証明書ライフサイクル管理という言葉だけでは、これらのニーズを言い表せません。複雑性とリスクの管理に最適なツールでは、CLM (証明書ライフサイクル管理)と PKI サービスが単一のフルスタックソリューションにまとめられます。これには、実働する自動化された証明書環境のカスタマイズに必要な統合と設定が含まれます。
これは、証明書ライフサイクル管理の終焉ではなく、次のステップであるトラスト(信頼された)ライフサイクル管理への移行であり、現実の証明書アプリケーションのための包括的で自動化された、技術的に実証済みのソリューションなのです。
時代遅れの CLM(証明書ライフサイクル管理) のリスクを排除するため、詳しくは DigiCert® Trust Lifecycle の詳細を確認してください。デモを見る>
©2023 DigiCert, Inc. All rights reserved. DigiCert は、米国およびその他の国における DigiCert, Inc. の登録商標です。その他の商標および登録商標は、それぞれの所有者に帰属します。