 |
【特集】
PKI運用のアウトソーシングの流れ
池谷千尋
ネットマークス
2002/9/18
| セキュリティの運用をアウトソーシングする |
近年、企業がネットワーク上の脅威から身を守るために導入するセキュリティシステムが、自前で製品を購入し維持運営していくという従来の設備型ではなく、セキュリティ製品を運用・管理するサービスを利用するという“サービス利用型”に移行しつつある。
このジャンルのサービスには、ファイアウォール、ウイルス対策/防御ソフト、不正アクセス監視、ネットワーク監視、認証局(CA)などがある。これらの製品に共通しているのは、一度導入してしまえば安定的に稼働できるというものではなく、ソフトウェア、パターンファイルなどの更新やログ収集、分析を行ったり、認証などの場合は利用者への配布、更新手続きなどのメンテナンスが発生する。このようにセキュリティレベルを保つためにはその維持、運用にかかる手間(コスト)が大きいことが特徴である。
そこで、マネージドサービスとはどのようなものかを以下に述べる。
|
[マネージドサービスの定義]
|
|
| 1 | 企業(ユーザー)などから委託を受けて、外部の情報サービス企業(ベンダ)などがユーザーの情報システムの運用を行うこと |
| 2 | ベンダがこの委託業務を行うに当たって、ユーザーは現有の情報システム資源(コンピュータなどのハードウェア、業務プログラムなどのソフトウェア、そのほかデータベースなど)の全部または一部を移行すること |
 |
| 図1 マネージドサービスの概要 |
今回のテーマであるPKIに関しては、証明書のライフサイクルの管理に携わる業務(CA/RA)の多くはCAを厳密に運用しようとした場合、業務量が少ないとしても、役割を分離して兼任・兼務をさせられないことがある。これでは非常に効率が悪く、運営コストにのしかかることになる。
 |
| 図2 CA(認証局)の役割構成図 |
実際、CAを構築した後も証明書の発行、更新、失効、失効リストの更新などの業務があり、構築が済んだからといって管理面の手間がなくなるものではない。
このように本来、自社の業務とは異なる部分でセキュリティシステムの管理のための要員が必要となる場合、その業務をアウトソーシングするのは当然の流れであり、また多くのデータセンター事業者がこのようなサービスメニューを提供している。
| PKI導入の目的 |
PKIの用途についてはさまざまな機会で紹介されているのでここでは深くは説明しないが、VPNの認証、電子メール、SSL……と数多くの用途があり、その背景に共通なのはセキュリティ確保である。PKIはあくまでもそのための基盤である。さまざまなシステムと連携して、また、システムの一部としてPKIが果たす役割は、認証、完全性、秘匿性、否認防止などの実現である。導入に際しては、利用目的や用途をはっきりさせる必要がある。
 |
| 図3 PKIの用途 |
そして、もう1つCAの形態を考えるうえで大きな問題が、信頼の範囲である。「だれが、だれを信頼するか?」「だれが、だれを保証するのか?」、このモデルをはっきりさせることがCA全体をデザインするうえで重要になる。信頼の基盤としてCAをどのようにとらえるのかは「PKI基礎講座(2)電子証明書と認証局」でも触れられているのでぜひ参考にしていただきたい。
| PKIのアウトソーシングとは |
アウトソーシングで提供されるPKIのマネージドサービスとはいったいどのようなものであるのか? そしてそれを利用することによるメリットを解説してみたい。
ここで、あらためてPKIについてセキュリティの中での位置付けを考えてみる。多くの場合、企業や団体にとってPKIはセキュリティを実現する仕組みの中のごく一部にしかすぎない。例えば、Webシステムへの認証の手段として使用したり、VPN認証に使用されたり、受発注システムで交換される電子データに署名を施すなどである。繰り返すが、PKI単体ではセキュリティを実現するものではなくPKI ソリューションとして多様な機能を持つサービス。これにより最高度の可用性/セキュリティと最大限の柔軟性/性能/拡張性を提供することが可能となる。
●PKIの3要素
PKIを運用する場合に必要な要素があり、それはCA、RA、エンドエンティティ(証明書利用者)である。各役割の概要を以下に説明しておこう。
- CA(Certification Authority)
公開鍵ペアの所有者に対して、所有者の確かさを保証する役割を果たす。公開鍵ペアの所有者の確認はRAの役割で行うが、CA自身の電子署名を公開鍵ペア所有者の公開鍵証明書に施す。
- RA(Regisuration Authority)
公開鍵ペアの所有者の審査/確認を行う役割を担う。また、実際の証明書の発行/登録を行う。この、発行/登録に関する機能を区別して発行局:IA(Issueing Authority)として扱う例もある。
- エンドエンティティ(証明書利用者)
公開鍵ペアの所有者で、公開鍵証明書を利用する人(個人であったり、サーバやVPNゲートウェイだったりする)。
●PKI運営の役割
また、PKIを利用する際に登場する役割には以下の4者がある。この要素も押さえておこう。
- 運営者(アウトソーサ)
CAの運営を委託されるサービス事業者であり、CAとIAの両方の機能を備える。
- サービス主体
アウトソーサと契約を結ぶ企業(ユーザー)を指す。Web証明書やVPN証明書では、アウトソーサが証明書を発行する対象となる。クライアント証明書の場合は、企業(ユーザー)が利用者の証明書を取りまとめて契約する場合がある。この際契約を結ぶ企業(ユーザー)は、RA機能の一部(利用者からの申請受け付けと利用者の審査)を請け負う。
- 利用者
PKIの3要素のエンドエンティティに当たり、クライアント証明書を利用する人や、サーバ証明書を利用するWebサーバ、VPNゲートウェイなどを指し、アウトソーサが証明書を発行する対象となる。
- 信頼者
アウトソーサが発行した証明書を使用して、実際に通信(取引)する相手を指す。信頼者にとっては、アウトソーサが発行する証明書を信頼できるか否かが、通信(取引)する際の判断となる。
 |
| 図4 CA利用モデル |
| PKI構築は何が大変? |
CA運営にはシステム的/運用管理的なコントロールが必要になり、それがそのまま運用コストに跳ね返ることになる。従来、CAの運営形態をコスト面から考えると「大量発行はインハウス、少量発行はアウトソース」という考え方があるが、構築後の運営、維持管理をトータルで分析するとアウトソーシング=マネージドサービスの利用といったことがコスト削減につながるだろう。
このようなセキュリティに関するマネージドサービスの利用は、PKIだけではなくファイアウォールシステムや不正アクセス監視、ウイルス対策といったセキュリティ分野の製品やサービスに多くなってきている。これは、セキュリティ関連のソフトウェアやシステムを有効活用するためには製品導入後のメンテナンス(ソフトウェアのバージョンアップ、パッチ投入)や運用にかかるコストと手間がいかに多いかということを示しているといえよう。
通常、第三者認証機関を利用する場合は下図のような信頼構造が成り立つといえる。
 |
| 図5 第三者CAを利用する場合の信頼構造 |
●自営(インハウス)
企業/団体が自身で内部PKIを構築し運用する形態である。このCAは運用する企業/団体のコントロールに置かれることになりその運用元を全面的に信頼することが前提になる。用途として社員証、グループ会社の認証などが中心になる。一般には信頼の範囲が組織を超える場合や不特定多数の個人を対象にする場合にはインハウスでのCA構築は向かない。
これは、証明書を利用したサービスを提供しようと考えている企業/団体は自らが、CAの運営も行おうとすると責任の範囲が非常に広くなる危険性をはらんでいるからである。
- 信頼者のリスク
CAと利用者(署名書の提示者)が同じ組織の場合、その組織(会社であったり役所であったり)が不正をはたらいて、なりすましによる架空の取引をされないだろうか?
- 利用者側のリスク
正当な運用をしているにもかかわらず組織が不正をしているといいがかりを付けられるかもしれない(取引を否認されるかもしれない?)。CAが第三者の運営ならば取引の証跡を(認証や署名)が正当であることを主張するだけでよいが、同一組織でCAを運営した場合には証明書発行が正当な手続きと運営をされていることまで証明する必要がある。
このようなトラブルによる裁判例はまだないと思うが、電子商取引の増加により今後このような問題が発生する可能性があるので注意が必要であろう。
 |
| 図6 サービスを提供するA社がCAを運営する場合 |
そこで、自営を検討する場合には下記のような理由が考えられる。
- 完全に自社の配下でコントロールしたい(ユーザー情報、証明書への記載事項などやCAの秘密鍵を自身で管理したいようなケース)。
- セキュリティポリシーが委託先の提供するサービスとは異なり、独自運用したい。
- 発行枚数が非常に大量なため、自営のコストが小さくなる。
PKIマネージドサービスを利用することにより、企業はCAとしての機能を持つことができるわけだが、CA管理者の機能は、ユーザーの身元確認業務を行うRAの機能をPKIマネージドサービス導入企業で管理し、IAの証明書発行業務はアウトソーサが受け持つことになる。CAをアウトソーシングすることにより、企業は迅速かつ容易に PKI を導入しPKI バックボーンを設計/準備/運用/維持するために必要となる多くの労力とコストを節約することができるのである。
また、アウトソーシングと一口にいってもどの機能をアウトソーシングするかは企業によって異なる。実現する機能に必要なサービス形態と運営主体をどのようにするかによって下記のような分類が可能である。
 |
| 図7 電子認証サービスの現状について(出典:電子商取引推進協議会(ECOM) 2001年10月1日 情報化月間シンポジウム資料 http://www.ecom.or.jp/) |
●パブリックサービス
パブリックサービスとプライベートサービスの厳密な違いは、信頼点となるルートCAが第三者信頼機関(Trusted Third Party:TTP)として広く一般に信頼されているかどうかにある。例えばセコムトラストネット、ボルチモアテクノロジーズ、ベリサインなどが提供しているサービスには、主要なWebブラウザにあらかじめルート証明書がインストールされているものがある。このサービスを利用すれば、Webブラウザを利用するユーザーなどではルートCAの証明書の登録が不要で導入のための操作が簡易である。また、Webブラウザにあらかじめ登録されていることで、ルートCAのなりすましに対する確認が不要であるメリットもある。
まだ世間一般ではあまり認識はされていないと思うが、電子署名法で定められた「特定認証業務を行う認証局」も広く公開されたパブリックCAである。
- 特徴
発行時の認証(本人確認など)は認証局の運用規定に準拠する必要がある。これらの運用規程はCPS(Certificate Practice Statement)として公開されている。
- 用途
証明書の利用者が組織内にとどまらない場合や不特定多数に対するサービスの場合、ユーザー側でのTTP確認の容易さからWebサーバの暗号化(SSL/TLS)や、メールの暗号化/署名(S/MIME)などへの利用が考えられる。
| ※参考 証明書の発行元について 2002年3〜4月にかけて総務省のシステムの問題が指摘された。 http://www.atmarkit.co.jp/fsecurity/special/24gpki/gpki01.html これに関しては、もう1つ“果たして総務省が自分のWebサイトを証明する証明書を自身(総務省の運営する認証局)が発行してよいものか?” という論点がある。 運営のポリシーが明確になっていればそれでもよしとする立場と、やはり第三者機関を利用すべきとの意見がある。大切なのは、デジタル証明書をむやみに信用しないことであろう。 |
 |
| 図8 パブリックCAのモデル |
●プライベートサービス
ユーザー専用のCAを構築・運営するサービスでプライベートCAと同様に自身でポリシーを決定することができる。企業内や特定の取引先などある程度閉じた範囲で、その組織のポリシーに基づいて運用される。
- 特徴
その組織(会社など)の独自の判断に基づいて証明書が発行される。証明書を構成する連鎖上に、第三者の組織と共用するCAがないことから、その組織独自の信頼関係を利用することが可能。
WebブラウザやWebサーバにはプライベートCA(または証明書連鎖上に存在するCA)が登録されていないため、あらためて登録する必要がある。
- 用途
グループ内のメンバーや社員に対する認証の目的で使用される場合でWeb上に構築されたEDIシステムや会員向けのWebサイトへのアクセスのための認証などが想定される。
これは、Webサーバ/クライアントPC間でSSLの双方向認証目的の証明書として多く利用されるモデルである。この場合、クライアントがアクセスの許可を得るためには、信頼ポイントの認証機関によって署名された証明書を提示することになる。Webサーバ側では証明書の有効性を確認し(ルート証明書、有効期限、証明書のリンク)、クライアントにリソースへのアクセスを許可する。
アクセスの許可、拒否がルート認証機関の署名によって決まるためプライベートCAサービスには適しているだろう。
 |
| 図9 CAの階層的信頼関係(上位CAが下位CAを認証) |
| 導入に際しての検討 |
PKI導入に際する検討事項は、「電子署名導入指南(2)導入プランを立てよう」を参照いただきたい。
PKIマネージドサービスを導入することにより、負担の軽減として期待されることはさまざまであると思うが次の3点の効果が大きいといえる。
- ファシリティ面の軽減
- 導入までの期間の短さ
- 運用フェイズでの手間の少なさ
アウトソーシングサービスを利用する企業にとって、コアコンピタンス(中核的能力)へリソースを集中させられることが、大きな効果である。
●設計・構築
PKIマネージドサービスを利用する際の設計と構築は、「PKIを何に利用するのか?」「だれが利用するのか?」を中心に運用の設計をしていくことになる。サービス利用の最大のメリットは以下の点である。
- ファシリティ面の不安がほとんどない。
- PKI構築の難問であるCP(証明書ポリシー)/CPSの作成が自営構築に比べて楽である。
※ただし、自由度の大きいサービスを利用する場合はCPS作成の手間も大きくなる。 - ライフサイクルの管理に必要なツールがアウトソーサから提供される(場合が多い)。
|
||||||||
| 表1 サービスの設計/決めるべき項目 |
 |
| 図10 証明書ライフサイクル |
●維持・管理
運用段階に入ったら証明書の発行から更新、失効などのライフサイクルにまつわるルーチンワークばかりがイメージされるが実はサービスの質を維持するためにはチェック機構が働いていることが重要である。
サービスの質と運用業務の効率化のためのチェックをしていくことになる。これは例えPKIマネージドサービスを利用する場合でも、ービス主体であるユーザーの責任で実施していかなければならない。アウトソーサとユーザーの間で業務フローに無駄や無理がないか、お互いのチェック機能は有効に働いているか、などがその内容となる。
| 監査 | 運用管理状況のレビュー |
| 証明書ライフサイクルのレビュー | |
| 監査計画/監査レポートの作成 | |
| 運用管理チェック | ライフサイクルの管理 |
| 業務効率の改善計画レビュー | |
| コストレビュー |
| まとめ |
PKI運用をアウトソーシングするマネージドサービスを解説してきた。近年PKIの利用が徐々にではあるが広まってきている。従来はPKIの利用というと自営でCAを立てるか、証明書発行サービスを利用するかという選択が中心であったが、後者の証明書発行サービスは、単にデジタル証明書を発行するだけではなくユーザーのCAの運営代行というサービス形態が検討されてきている、いや実現化してきているといってもよいだろう。
アプリケーション側でのPKI利用がまだ十分ではない感があるが、2002年から2003年度にかけて電子政府や電子自治体をはじめとする電子申請アプリケーションが徐々に広まっていくことが予想される。今度こそ、一気に普及が進むのであろう(期待を込めて……)。
 |
Security&Trust記事一覧 |
| 関連記事 | |
| 特集:電子政府の現状と今後 | |
| 特集:GPKIで実現する電子政府構想(GPKIとはなにか?) | |
| 連載:電子署名導入指南 | |
| 自治体を補完する“バーチャル自治体”は実現するか |
| @IT [FYI] | |
| PR:第1回 PKI運用の新しいかたち | |
| PR:第2回 ユーザーサイドのソリューション |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
