TLS/SSL、IoT、そのほか公開鍵インフラストラクチャ(PKI)ソリューションを提供するデジサート・ジャパン。同社は、昨年12月にマシンID保護を手がける米Venafiと電子証明書のライフサイクル管理を支援するため協業し、統合ソリューションを提供を開始した。
今回、デジサート・ジャパン カントリーマネージャーの平岩義正氏から、協業の意図や今後の見通しについて、話を伺った。
まず、平岩氏は「今後、IoTデバイスの爆発的な増加が見込まれており、証明書の有効性を確認しなければシステム間の通信が途絶えるほか、脆弱性のスキャンなどが滞ることで情報漏えいにつながりかねない」と指摘。
協業の内容としては、最も要件が厳しいセキュリティが重視される企業に向けて複雑なマシンIDプログラムを合理化・自動化するため、統合ソリューションの提供を予定している。
これにより、企業は公開鍵インフラストラクチャ(PKI)とマシンID保護を、マシンのスピードと規模に応じてカスタマイズおよび連携できるようになり、デジサートのOCSP(Online Certificate Status Protocol:公開鍵証明書の失効状態を取得するための通信プロトコル)基盤と、VenafiのマシンID保護プラットフォームとのAPI統合を活用する。
新しい適応ドライバーにより、デジサートの証明書ライフサイクル管理プラットフォーム「DigiCert CertCentral」の新機能にアクセスでき、両社のユーザーは証明書プロビジョニングの完全自動化から内部ポリシーの適用に至る特定の機能をカスタマイズできるため、PCI DSS、HIPAA、GDPRといった業界規制や、最も要件の厳しいユースケースにも対応を可能としている。
また、多様なシステムにまたがるマシンID保護の統合も合理化が図れることから、大量の証明書申請を数秒間で完了することができ、VenafiのソリューションはCertCentral機能を追加設定なしでサポートするという。
統合の主な機能は、証明書サービスの申請、利用、ワークフローを可視化するほか、構成可能な同意と承認、詳細ログの取得など、ポリシーとワークロードの自動化により、リスクを削減する。
さらに、ワークフローの同意、承認、認証のコンプライアンスを実現することに加え、申請から発行、更新、失効に至る証明書ライフサイクル全体をサポートするとしている。
そして、平岩氏は「SSLサーバ証明書など、証明書の有効性を一元管理する必要性があり、統合ソリューションの提供を決めた」と、同氏は協業に至った背景を説明する。
今後、証明書の有効期限切れの防止や工数削減に加え、証明書のアルゴリズムの解読スピードが速くなっていることから、SSLサーバ証明書の有効期限切れが短くなり、頻繁に更新することが求められる。
加えて、IoTデバイスにおける証明書の管理は、現状ではデバイスそのものの機能が限られているため、証明書の更新が難しく、デバイスそのものを交換、もしくはチップ交換など物理的な交換作業がメインになっている。
そのため、同氏は「今後はOTA(Over The Air)により、IoTデバイスの証明書の更新をネット経由で行うことが、すべてのデバイスで実装が可能になった際に有効期間が短くなることが見込まれていることから、証明書の管理システムが有効になる」と説く。
同社では、IoTセキュリティ標準化関連のコンソーシアムとして航空関連のAeroMACS、DOCSISケーブルモデムのCableLabs、有料テレビ放送のCI Plus、モバイルフォンとIoTのGlobalPlatforms、インダストリーIoTのIndustrial IoT Consortiumなどに参画し、将来的なIoT市場の拡大を見据えている。
今後の展望に関して平岩氏は「システムの安全な運用がゴールであり、証明書で本来接続すべきデバイスであるということを認識することに加え、証明書によりアクセスコントロールし、正しくコードのアップデートされることなどを担保しなければならない。また、IoTデバイスのデータ暗号化も施さなければならないことから、ネットワークを安全に運用するための基盤になるものだと考えている」と述べていた。