PKI、アウトソースかインハウスか (2)

2001/12/6
November 21, 2001, InternetWeek, By KELLY JACKSON HIGGINS

 前回紹介したように、PerotにはPKIを実現するだけの自社のシステム統合とセキュリティ関連の専門知識があった(「PKI、アウトソースかインハウスか (1)」参照)。だが、Ruesch Internationalにはそれを実行に移すだけの誘因も専門知識もなかった。「われわれがアウトソーシングを選んだのは、当時は、自分たちの力でソフトウェアを立ち上げ、保守していくことが困難だと判断したからだ」(Zamurovic氏)

 クライアントは、平均数万ドルのトランザクションを実行するにあたって、従来からある電話/ファックスサービスに追加する、もしくはこれを代用する形でRueschLINKを使うことができる。したがって、カスタマーは支払いの注文や為替レート情報照会で電話をかける代わりに、RueschLINKを経由して自分で処理することができる。必要なのは、サービス(手数料は無料)に加入し、デジタル証明を取得する作業だけだ。

 Rueschは1999年、当時CyberTrustと呼ばれていた現ボルチモアのPKIサービスに加入した。Perotと同様、RueschもPKIを立ち上げたときにアプリケーションの統合問題に直面した。そして、社内で運用している社内開発金融アプリケーションへのデジタル証明の組み込みを取りやめた。「進めていたら統合作業が増えて市場投入までにさらに時間がかかっただろう」(Zamurovic氏)

 ボルチモアが同社のPKIシステムをホスティングサイトで稼働させるまでにかかった時間は2カ月。同社のPKIは現在、ほかのクライアントと共有のSolarisサーバ上で動作している。

 Rueschは証明の取得、発行、および取り消しのためのポリシーを処理するだけで、認定/登録機関サーバの運用はボルチモアが行う。アクセスはインターネット経由で行う。暗号技術鍵の長さを確実に1024ビットにするといった証明ポリシーの施行はボルチモアが担当する。「われわれはホスティング先のサーバの中を見ることができるため、証明に対するリクエストを調査し、社内データベースと比較して、アカウントマネージャに問い合わせてリクエストの正当性を確認する。そして、ボルチモアの認証機関に向けて承認もしくは拒否する」(Zamurovic氏)

 デジタル証明の準備が整うと、クライアントはこれを受け取るべくサーバからWeb経由で電子メールを受信し、証明の期限が切れるか取り消されるまでクライアントのPC上に保管される。この登録機関業務に携わるRueschのIT技術者はわずか2人で、しかもパートタイムのスタッフだ。

 一方、ユーザーにとって証明の更新は簡単なことではない。Zamurovic氏によると、ある程度技術的なノウハウが必要で、多くのユーザーは証明の保管場所やそのやり方を把握しておらず、「証明を彼らのブラウザにインストールし、うまく利用させることが課題の1つ」という。そこで、同社では証明の適用とダウンロードに関するテクニカルサポートの提供を開始した。

 Rueschは、社内金融サービスアプリケーションにPKIを統合するという選択肢を排除していない。また、来年中にはマイクロソフトのActive Directoryを追加し、自社の金融サービスアプリとRueschLINKアプリの両方を同ディレクトリに統合することも計画している。このためには、各アプリケーションを結び付ける何らかのコードを書かなければならない。

一様ではないそれぞれのメリット

 現在の、見通しの暗い経済状況を考慮した場合、PKIを新たに導入しようとする組織にとってはアウトソーシングの方が魅力的かつ現実的な選択肢かもしれない。PKIのソフトウェア、機器、要員、もしくはトレーニングに対する先行投資がほとんど、もしくはまったく必要ないからだ。

 これまでのところは、この市場をリードしてきたのはベリサインだが、現在ではエントラストとボルチモアも同様のサービスを提供している。社内でPKIを開発するには50万〜200万ドルの費用がかかるが、システムの規模が大きければ大きいほど1ユーザーあたりのコストは安くなる。だが、TCOを考慮すると、ユーザー単位で単純に考えることができない。米ガートナーのアナリスト、Brad Hildreth氏によると、5000台の端末で1ユーザーあたり約180ドルでも、12万5000台あれば1ユーザーあたり50ドル、60万台あれば1ユーザーあたり40ドルになるという。

 Hildreth氏によると、アウトソーシングを利用した場合、費用はこの約半分で済み、5000台で1ユーザーあたり66ドル、60万台で1ユーザーあたり22ドルという。

 一方、カナダの通信プロバイダ Bell Canadaなど一部の企業では、両方を組み合わせたアプローチを取っている。Bell CanadaはエントラストのPKIソフトウェアを購入し、姉妹会社であるBCE Emergisにアウトソーシングの形で認証機関を運営させている。Bell Canadaのセキュリティ本部でシニアアドバイザーを務めるBill O'Brien氏によると、同社は自社内で登録機関部分を運営しており、これまで約300万ドルを投じて4万人のユーザー向けに認証機関を設置し、その保守に少なくとも年間100万ドルを投じるという。

 米ガートナーのアナリスト、John Pescatore氏によると、結局はアプリケーションやOSにPKIをどれだけうまく“隠せるか”がポイントという。それはつまり、ロータス ノーツの独自PKIファンクションや米チェック・ポイント・ソフトウェア・テクノロジーズがVPNサーバに搭載する証明管理機能のように、基本的にはエンドユーザーにまったく見えない形でPKI機能を搭載した既製アプリケーションが増えることを意味する。

 だが、それがどれだけ早い時期に実現するのかは、だれにも分からない。

*この記事は全2回の2回目です。前回分はこちら

[英文記事]
PKI Decision Time

[関連記事]
PKIトップベンダーの市場拡大戦略 (@ITNews)
5分で絶対に分かるPKI (Security&Trust)
認知度アップのPKI、各社ひしめくアプライアンス製品 (@IT News)
日本ボルチモアとサイバートラストが合併 (@IT News)
凸版とボルチモアがPKI分野で提携 (@IT News)

Copyright(c) 2001 CMP Media LLC. All rights reserved

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)