TLS証明書の有効期間は短縮され続けています――まず200日、次にわずか47日へ。これは、より頻繁な更新、停止リスクの増加、そしてより厳しい運用スケジュールを意味します。
長年にわたり、組織は長期間有効なSSL/TLS証明書を使用し、たまに見直しや更新を行うだけでした。しかし、それは変わろうとしています。2026年3月15日、TLS証明書の最大有効期間は398日から200日に短縮されます。その1年後にはさらに100日に、そして2029年までにはわずか47日まで短縮される予定です。
この変化はセキュリティ向上を目的としており、Appleからの提案に端を発し、2025年4月に証明書認証局のコンソーシアムであるCA/Browser Forumで承認されました。このアイデアは、他の主要なブラウザメーカー3社(Google、Mozilla、Microsoft)からも支持を受けています。
「証明書の有効期間短縮は贈り物です」と、ResilienceのCSOであるJustin Shattuck氏は言います。「これにより、人々はより良い自動化や証明書管理の実践に向かい、将来的なポスト量子防御にも不可欠となるでしょう。」
証明書有効期間短縮のリスク
しかし、この贈り物も組織が準備不足であれば、呪いに変わる可能性があります。多くの組織はいまだに手作業による追跡や更新プロセスに依存しており、スプレッドシートやカレンダーリマインダー、あるいは「いつ証明書が切れるかを知っている」システム管理者に頼っています。
2026年3月の期限まであまり時間がない中、組織は証明書管理の近代化に追われることになるかもしれません。一部のCISOは、自動化プロジェクトを加速させ、証明書のインベントリを一元化し、証明書ライフサイクル管理の責任がチーム内のどこにあるかを再評価し始めています。
「400億ドルの資産を管理する米国大手銀行のCISOとして、SSL/TLS証明書の有効期間短縮における主な懸念は、運用のレジリエンスと、すでに複雑な金融エコシステムにおけるリスクの増大です」と、MidFirst BankのCISOであるClint Lawson氏は語ります。「有効期間が短縮されることで、更新頻度が高まり、人為的ミスや証明書の乱立、見落とされた有効期限切れによるサービス停止のリスクが増大します。」
銀行業界やその他の分野では、この問題への対応を誤ると高額な損失や顧客の信頼喪失につながる可能性があります。「私が夜も眠れなくなるのは、連鎖的な障害の悪夢です」とLawson氏は続けます。「有効期限切れの証明書がピーク時にオンラインバンキングポータルを停止させ、FDICやOCCのような規制当局の監視対象となったり、最悪の場合は暗号化されていないチャネルを悪用される足がかりを与えてしまうことです。」
準備期間が短くなっている今、企業は今すぐ方針転換し、手順を見直す必要があります。
CISOが短期間証明書に備えている方法
多くの組織で、CISOはすでにアプローチの見直しを始めています。ほとんどの組織にとって最初のステップは、実際に何を保有しているかを把握することです。つまり、環境全体のすべての証明書を明確に把握し、バラバラなメモや各担当者が持っている断片的な情報に頼らないことが重要です。
「可視性が“絶対的な最優先事項”です」とAireonのCISOであるPete Clay氏は言います。証明書の完全かつ継続的に更新されるインベントリ――どの証明書が存在し、どこに配備され、どのシステムがそれに依存しているか――がなければ、どれだけ自動化やツールを導入しても停止は防げません。
「私たちは、SSL/TLS証明書だけでなく、鍵、アルゴリズム、アイデンティティ、そしてそれらのビジネス・リスク・規制上の文脈を組織内で追跡し、リスクと結びつける“生きた暗号インベントリ”に投資しています」と彼は語ります。「すべての証明書は所有者、有効期限、システム依存関係に紐づけられ、所有者との継続的なライフサイクルベースのコミュニケーションでサポートされています。このインベントリが自動通知を促し、有効期限切れが突然発生することはありません。」
次の優先事項は自動化です。Clay氏は、証明書の有効期間が短縮されるにつれ、手動での更新サイクルはもはや現実的でないと主張します。彼のチームは自動発行・自動更新を備えた集中管理型証明書管理へと移行しており、他の組織にも同様の取り組みを推奨しています。
理想的には、APIやワークフローを利用してAutomatic Certificate Management Environment(ACME)プロトコルを活用することです。ACMEは、証明書認証局とサーバー間の自動化されたやり取りを可能にするオープン標準であり、証明書の要求、発行、更新、交換をプログラム的に行えます。
「証明書は、クラウドのロードバランサー、Kubernetesクラスター、オンプレミスのゲートウェイなど、あらゆる環境で自動的に発行・配備・検証されます」とClay氏は言います。「目標は、更新を緊急プロジェクトではなくバックグラウンドプロセスにすることですが、常にコミュニケーションと責任を持ってサポートされるべきです。」
MacPawの最高技術・イノベーション責任者であるVira Tkachenko氏も同意します。彼女は、Cloudflare環境やLet’s Encryptを使った仮想サーバーなど、ACMEがサポートされている環境で証明書更新を自動化していると説明します。ACMEがまだ利用できない領域では、可視性を維持し予期せぬ有効期限切れを防ぐため、集中管理型証明書インベントリの構築を進めています。
Lawson氏も勤務先の銀行で同様のアプローチを取っています。「まず、AI駆動の自動化を備えたエンタープライズグレードの証明書ライフサイクル管理(CLM)プラットフォームを導入し、ハイブリッドクラウド環境全体で発行・更新・失効をシームレスに処理できるようにしました」と彼は言います。「次に、包括的な監査を実施し、すべての証明書をリアルタイムで可視化できる集中型PKIダッシュボードを構築し、脅威インテリジェンスフィードと連携させて高リスク資産を優先的に管理しています。」
さらに、銀行は主要な証明書認証局と提携し、ポスト量子暗号統合のパイロットを実施しました。これにより、新たな量子脅威に対してインフラを将来にわたって保護することを目指しています。
Lawson氏は、証明書の有効期間短縮への対応を一度きりの技術的作業として扱うべきではないと付け加えます。これらの変化は、組織がシステムをどのように保護・運用するかを形作る大規模なデジタルトランスフォーメーション戦略に組み込む必要があります。
同様に重要なのは、ビジネスへの影響を明確に伝え、証明書自動化が必須であることを経営陣に理解してもらうことです。「有効期限切れの証明書は単なる技術的な不具合ではありません――ダウンタイム、収益損失、ブランドイメージの毀損です」とClay氏は言います。「これをコンプライアンスではなく、レジリエンスと信頼のマネジメントとして位置づけるCISOは、次の障害が発生する前に必要な投資と経営層の関心を得ることができます。」
CISOへのプロのアドバイス
期限が迫っているにもかかわらず、証明書管理戦略がまだ整っていない組織もあります。「そうした組織は、予期せぬダウンタイムの影響を最初に受けることになるでしょう」とSectigoのシニアフェローであるJason Soroko氏は言います。しかし幸いなことに、停止を防ぐために注意すべき点があります。
証明書の有効期限が短くなるにつれて自動化は重要ですが、その実装方法も重要です。有効期限の数日前に証明書を更新するという固定的な方法は、有効期間が変化すると信頼性が低下します。代替案は、証明書の有効期間の一定割合で更新する方法であり、この方法には有効期間が短縮された場合でも自動的にタイミングが調整されるという利点があります。
「ハードコーディングされた更新期間は、いずれ長すぎるものとなる可能性がありますが、割合による更新期間であれば問題ありません」と、Let’s Encryptの運営母体であるInternet Security Research Group(ISRG)のエグゼクティブディレクター、Josh Aas氏は言います。「例えば、ACMEクライアントが60日ごとに更新する場合、証明書の有効期間がそれより短くなると待ちすぎてしまいますが、証明書の有効期間の70%で更新するクライアントであれば問題ありません。」
もう一つ重要なのは、アラートの設定ですとClay氏は付け加えます。継続的なスキャンで有効期限が近づいている証明書を検出し、注意が必要な場合は自動通知を送信しましょう。そのアラートをチームのチケット管理やチャットツールと連携させ、即座に確認できるようにします。「派手ではありませんが、問題を先回りして防ぐか、午前2時の障害コールを受けるかの違いです」とClay氏は言います。
また、証明書ライフサイクルを監督する明確な担当者を設けることも有効です。理想的には、暗号や公開鍵基盤(PKI)を担当するセキュリティ部門の誰かが適任です。「責任の分散が障害や責任の押し付け合いを引き起こします」とClay氏は付け加えます。「証明書の要求、購入、承認、更新、失効の方法を定義する単一のポリシーを構築しましょう。軽量なガバナンスモデルでも、即座に混乱を減らしリスクを低減できます。」
Check PointのグローバルフィールドCISOであるPete Nicoletti氏は、CISOは全員が同じ認識を持っていることを確認すべきだと付け加えます。つまり、DevSecOpsチームが良い証明書管理の基本を理解していることを確認することです。また、有効期限切れを想定したテーブルトップ演習を実施し、迅速な対応が当たり前になるようにすることも推奨しています。
最後に、証明書の健全性も他のガバナンス指標と同様に追跡する必要があります。「期限内に完了した更新、期限切れ証明書、鍵のローテーション遵守率などの指標を含めましょう」とClay氏は付け加えます。「経営層がこれらの数値の改善を目にすれば、暗号が単なる技術的機能ではなく、運用レジリエンスの中核であることが強調されます。」
CISOが犯しがちなミス
証明書の有効期間が短縮されることで、適応へのプレッシャーがミスや見落としを招くことがあります。最大のミスの一つは、この変更が外部向けウェブサイトだけに影響すると考えることです。「内部TLS、mTLS、ブローカー、デバイス証明書は、[Certificate Transparency(CT)ログ]で可視化されず、しばしばACMEパスもないため、重大な障害を引き起こす可能性があります」とShattuck氏は言います。
もう一つよくあるミスは、テーブルトップ演習の価値を過小評価することです。Soroko氏は、「誤発行のため24時間以内にすべての証明書を失効・再発行しなければならない」や「RSAが非推奨になったため、すべてのRSA証明書を失効・再発行しなければならない」といったシナリオを推奨しています。こうした演習を実施することで、組織が本当に準備できているかどうかを迅速に確認できます。
三つ目の落とし穴は、証明書の有効期間短縮を純粋な技術的課題と捉え、自動化だけで解決できると考えることです。Nicoletti氏は、継続的な更新を支えるために必要な文化やワークフローの変革こそが最も難しい部分だと指摘します。「チームのスキルアップやチェンジマネジメントに投資しなければ、自動化への抵抗が進捗を妨げ、機敏さが不可欠な状況で組織を危険にさらすことになります」と彼は付け加えます。
最後に、3月15日が近づく中、CISOが犯しうる最大のミスは、まだ十分な時間があると考えることかもしれません。これは将来の問題ではありません。変化はすでに始まっており、対応を遅らせた組織は今後、より困難な移行を強いられるでしょう。
「証明書は予期せず有効期限切れになることはありません」とSoroko氏は言います。「証明書の有効期間は発行後に変更されることはありません。」早期の対応が、予測可能な証明書管理と回避可能な障害リスクの分かれ道となります。
