2018年12月に発生したソフトバンクの大規模通信障害が最たる例だが、電子証明書の有効期限切れに起因するトラブルは珍しくない。ある日、ウェブサーバーにアクセスしてみたらエラーが表示され、大慌てで調べてみたら証明書の期限が切れていた――。そんな“ヒヤリ”経験を身近なところで聞いたことがあるのではないだろうか。ブラウザ側の対応もあって、ウェブのHTTPS化が進展してきたのは良いことだが、それに伴ってサーバー管理者が気にしなければいけない事柄がまた1つ増えている。
こうした状況も視野に入れ、電子証明書発行大手の米DigiCertは、2020年1月に開催した年次カンファレンスにおいて、証明書の発行や更新といった一連の処理の「自動化」「簡素化」を進めていく方針を明らかにした。
そして、それを具現化する新しいプラットフォーム「DigiCert ONE」と、その上で動作するPKI(公開鍵暗号基盤)管理ツール「Enterprise PKI Manager」、IoTデバイスに対する証明書発行・管理を支援する「IoT Device Manager」も発表した。DigiCert 最高経営責任者(CEO)のJohn Merrill氏は、「PKIの未来を変えることがDigiCert ONEの目的だ」と述べている。
コンテナー形式で提供、あらゆる環境に自動化されたPKI管理を
DigiCert 最高経営責任者のJohn Merrill氏
DigiCertは、旧Symantecの電子証明書発行サービスをはじめ、複数の買収を経て成長してきたが、それだけに提供する製品・サービスの数も多岐にわたっていた。同社はこの2年、約40種類あった製品群とアーキテクチャーを整理し、重複を排除しつつ、「DigiCert CertCentral」と「DigiCert PKI Platform」に統合する作業を進めてきたという。
DigiCertは約2年をかけて40近い製品やサービスを2つのプラットフォームに統合していく
その次のステップとして発表したDigiCert ONEは、電子証明書の発行・デプロイ・管理や更新、鍵管理といった作業を簡素化し、できる限り自動化していくものだという。国内では、2020年後半にリリースする計画だという。
DigiCert ONEの本体は、Dockerイメージの形で提供される。「コンテナーの形で同じコードベースを、オンプレミス環境だけでなく、プライベートクラウドやAmazon Web Services(AWS)のようなパブリッククラウド、さらにはインターネットから隔離された(エアギャップの中の)生産管理システムなど、あらゆる環境にデプロイできる」(プロダクトエマージングマーケット担当シニアバイスプレジデントのBrian Trzupek氏)
DigiCert ONEの構成イメージ
これまでは、PKIのインフラを用意して証明書を発行し、インストールする作業に数週間単位の時間を要した。これが、コンテナー形式で提供することにより、数十分へと大幅に短縮され、結果としてTCO削減にもつながる。DigiCert ONEを先行導入したBritish Telecomでは、デプロイ時間が20分ほどに短縮されたという。
またTrzupek氏は、ダイナミックに変動するITリソースに合わせて、迅速に、それもあらかじめ定めたポリシーに沿ってセキュリティとコンプライアンスを満たした形で証明書を発行し、適用できることも特徴だと説明する。
これは、ウェブサーバーやネットワーク機器などのIT環境だけでなく、家電や生産機器といったIoT機器に対して証明書を発行する上でも重要なポイントだ。
近年、IoT機器のセキュリティ対策が課題となっており、脆弱なパスワード設定やアップデートといった対策がクローズアップされるようになってきた。一方でIoT機器からの通信の暗号化と機器認証、完全性の検証については対応が遅れ気味だ。理由の1つとして、数千、数万単位のIoT機器に対して電子証明書を発行し、管理していくのは、手作業ではほぼ不可能という状況が挙げられる。IoT Device Managerは、そうした多数のIoT機器に対して証明書を発行し、問題が起きれば差し替えるといった作業を効率的に行えるよう支援するという。