パブリックキーインフラストラクチャ(PKI)は、パスワードをデジタル証明書に置き換えます。なぜ今、企業が移行すべきなのか――そして、その際に重要なポイントとは。
Momentum studio – shutterstock.com
サイバー空間における脅威はますます深刻化しています。ますます多くの企業が攻撃に直面しており、フィッシングキャンペーンからランサムウェア攻撃まで多岐にわたります。さらに、NIS-2のような規制により、法令遵守のために高いセキュリティと認証の追跡性が求められています。従来のパスワードやSMS-TANなどの方法は、こうした高まる要求にほとんど対応できなくなっています。そこで代替案となるのが、パブリックキーインフラストラクチャ(PKI)です。
パスワード不要のセキュリティでMFAの抜け穴を解消
機密性の高いシステムやデータを確実に守りたいなら、認証された人物だけがアクセスできるようにしなければなりません――しかもパスワードのよく知られた弱点なしで。複雑なパスワードであっても、フィッシングやブルートフォース攻撃で突破される可能性があります。また、一般的な二要素認証――たとえばSMSコード――も攻撃対象となります。
関連記事:MFA保護の最大の抜け穴
そのためPKIは、パスワードの代わりにデジタル証明書を利用します。これらの証明書はデジタルな身分証明書のように機能します。ユーザーはパスワードで認証する代わりに、有効な証明書で自分を証明します。システムやデータにアクセスする際、システムは証明書が本物で有効かどうかを自動的に確認し、パスワード入力は不要になります。これにより、セキュリティだけでなくユーザビリティも向上します。
関連記事:企業向けパスワードレス認証10選
PKIの原理
技術的な基盤となるのは、非対称暗号技術です。ここでは、暗号化された秘密鍵と公開鍵のペアが生成されます。秘密鍵はユーザーの手元――たとえばスマートカードやトークン――に安全に保管され、決して転送されることはありません。
公開鍵は、その対となるものとして一度だけ認証局(CA)によって証明されます。これにより、信頼できるチェーンが構築され、追跡可能かつ改ざん不可能な認証が可能となります。公開鍵は後に、ユーザーやデバイスの身元を確認するために使われます。これにより、認可されたユーザーやデバイスだけが保護されたシステムにアクセスできることが保証されます。
証明書ベース認証のメリット
パスワードが存在しないため、忘れることも盗まれることも改ざんされることもありません。さらに、面倒な認証プロセスが不要になるため、従業員はより迅速かつ安全に作業できます。IT部門も、サポート依頼やパスワードリセットが減ることで、より重要な業務に集中できます。これにより満足度が高まり、リソースも節約できます。さらにPKIは、データ保護やITセキュリティ基準――アクセス制御や認証に関する現在の一般的な要件を上回る――にも対応します。これにより、将来にわたって組織の安全性が確保されます。
PKI導入の第一歩:何をすべきか?
では、どのように移行を進めればよいのでしょうか。まず、企業は現在の認証方法を棚卸しし、どの分野でデジタル証明書が活用できるか――たとえば社内システムへのアクセス、VPN接続、メール送信など――を検討する必要があります。その後、以下のような要件を定義します:
- どのユーザーグループに認証が必要か?
- どのようなインフラが既にあるか、または構築が必要か?
状況に応じて、段階的な導入――たとえば特にセキュリティが重要な部署でのパイロットプロジェクト――が有効です。これにより、課題を早期に発見し、対処できます。
ライフサイクル管理で運用負担を軽減
PKI導入の際によく挙げられる障壁のひとつが、管理負担の大きさです。特に大規模組織では、従業員の入退社時などに証明書の発行・更新・失効を継続的に行う必要があります。適切なプロセスがなければ、すぐにセキュリティリスクが生じます。ライフサイクル管理ソリューションは、これらの作業を自動化し、IT部門の負担を軽減します。証明書が常に最新で、退職者がアクセス権を保持しないようにします。
セルフサービス機能で利用率向上
ユーザビリティは法令遵守と同じくらい重要です。パスワードがなくても、ユーザーがロックアウトされたり、PINを忘れたり、トークンを紛失したり、スマートカードが故障したりすることはあり得ます。最新のPKIソリューションは、ユーザー自身で新しい証明書の申請やPINのリセットができるセルフサービスポータルを提供しています――ヘルプデスクのチケットなしで。これによりリソースを節約し、同時に満足度も向上します。
さらに、多層的なセキュリティ設計により、このプロセスへの不正介入から保護します。セルフサービスは、既存の有効な証明書やハードウェアトークン、またはヘルプデスクによる一時的な本人確認など、強力な事前認証を経てのみ利用可能です。また、セルフサービスのすべての手順は記録され、ロール・権限モデルで保護できます。これにより、ユーザーフレンドリーでありながらセキュリティホールにならないプロセスが実現します。
暗号アジリティで将来も安心
サイバー脅威は常に進化しています。企業がセキュリティアーキテクチャを頻繁に再構築しなくて済むよう、PKIソリューションは暗号アジリティ(kryptoagil)であるべきです。つまり、新しい暗号方式を柔軟に統合し、証明書を自動で更新できることが求められます。これにより、長期的に信頼性が高く、投資価値のあるソリューションとなります。(jm)
