前回の記事では、マシンアイデンティティー(以降、マシンID)とは何かから始まり、なぜマシンIDが現代のサイバーセキュリティにおいて注目されているのかについて解説した。今回は、増殖し続けるマシンIDがもたらすビジネス面でのリスクや、そのリスクを軽減または解消する対策について紹介する。
1.証明書ライフサイクル管理の課題
前回説明したように、SSL/TLS証明書を含む電子証明書(以降、証明書)は、マシンIDの一つとして考えられている。その証明書業界で、いま激震が走っている。それは、CA/Browserフォーラムが全会一致で決定したSSL/TLS証明書の有効期限を2029年に47日に短縮するポリシーを承認したといった内容である。以下は、同フォーラムが発表した今後のマイルストーンである。
出典:CyberArk Software
元々は、Googleが証明書の期限を90日にすべきだと最初に声を挙げ、次にAppleがさらに短い45日を提案したが、最終的に証明書の有効期限を47日にするといったことで決着している。この背景として、セキュリティのさらなる高度化の推進、量子コンピューターの台頭による暗号アルゴリズムの脆弱(ぜいじゃく)化への対応、ドメイン検証(ドメインの所有者と、同ドメインを宣言する証明書を利用したサービス提供者の確認)の精度向上などが挙げられる。
では、実際に証明書の有効期限が短縮された場合、どのような問題が発生するのか見ていきたい。現在も多くの企業・組織では、証明書のライフサイクル(更新を含む)の一部もしくは全てを手動プロセス(スプレッドシートを活用した台帳管理など)に依存しているのが実状ではないだろうか。筆者が所属するCyberArk Software(以降、CyberArk)が顧客へ実施したヒアリングでも同様の回答である。
この手動プロセスは、証明書有効期限の大幅な短縮により、ビジネスに大きな問題を引き起こすと思われる。現在、証明書の更新は1年に1回で済むが、証明書有効期限が47日に短縮された場合、その頻度が1カ月に1回程度となってくる。管理する証明書の数が同じ場合でも、12倍近い労力が発生することとなる。それに加え、企業・組織が提供するサービスの増加や、そのサービスが利用する環境(コンテナー化など)の変化に伴い、管理する証明書が増えることにより、証明書ライフサイクルに関わる負担は一層増加する。
また、証明書のライフサイクルが適切に管理されていない場合、企業・組織が提供、利用するサービスが停止し、ビジネスに大きなインパクトを与えることとなる。つまり、証明書ライフサイクル管理を手動プロセスで継続していくことには限界があり、自動化を促進することが重要になってくる。
企業・組織内の証明書の検出と管理対象としての追加、証明書の有効期限管理、証明書の更新、更新された証明書のサービスへの適用などのプロセスを全て自動化することで、労力の軽減によるコスト削減、サービス停止のリスクがもたらす売上消失や企業イメージの低下を防ぐなどの効果を期待できる。
