リモートワークの普及などを機に多くの企業が頭を悩ます認証にまつわる問題とは
2020年初頭より始まった世界的な新型コロナウイルス感染拡大を受けて、多くの企業・団体が急激にリモートワークを取り入れることとなった。同時に、ランサムウェアをはじめとした企業を取り巻くサイバーセキュリティ上の脅威はますます増大し、セキュリティが手薄になりがちなリモートワーク環境を狙った攻撃も急増している。そこで、オフィス内はもちろん、リモートワーク環境下においても、場所を問わず安全に社内外のリソースへとアクセスできるよう、これまでのID+パスワードに加えて、PKI(公開鍵暗号基盤 Public Key Infrastructure)を用いたVPNやWi-Fi、Microsoft環境などへのアクセスを導入する企業が増えている。
改めてPKIとは、認証、暗号化、データ完全性に定評のある仕組みであり、オープンなネットワークであるインターネットには特に有効性が高い方法として知られている。一方で、自己流で何とかしようとすると証明書設定の負荷が高く、人為的なミスでセキュリティが損なわれる可能性があるなど、管理が難しいという難点もある。リモートワークを推進するために急遽PKIソリューションを全社的に取り入れざるを得なかった企業においては、そこがいま大きな課題となっている。さらに、“アフターコロナ” の時代を見据え、ハイブリッドワークも視野に入れるようになるこれからの時代においては、PKIソリューションにまつわる運用上の課題がますます深刻化することは間違いない。
こうした課題を解決するための画期的なソリューションとして注目を集めているのが、デジサートのPKIソリューション「DigiCert ONE Enterprise PKI Manager(以下、Enterprise PKI Manager)」だ。世界/国内いずれにおいても法人向けSSL/TLSサーバ証明書のリーディングプロバイダーであるデジサートが提供するEnterprise PKI Managerは、コンテナベースのアーキテクチャに基づいて構築された、セキュリティとアイデンティティのための最新のソリューションである。複数のワークフロー、柔軟な配置と構成によって、一切手間をかけることなく複雑で即応性の高いPKIエコシステムも管理することが可能だ。そのため、より積極的にDXを推進していかねばならない将来に至るまで、IT人材は本来の創造的な仕事にリソースを割けるとともに、安心・安全かつ管理性の高いアクセス基盤を提供し続けることができるのだ。
業種・業態そして組織の規模も問わず、最適なアクセス認証基盤を実現できるEnterprise PKI Manager──その特徴や効果の詳細について、実際の導入事例をもとに想定した事例サンプルを紹介しながら紐解いていきたい。
自社でのオンプレ証明書配信システム運用が過大な負荷となり本来の業務を圧迫
国内でも老舗の精密機器メーカーであるA社は、全国のグループ関連会社含め1000人ほどの従業員を擁している。同社におけるICT環境を簡単に紹介すると、まず業務用端末はWindows、macOS、iOSいずれのデバイスも使用している。また、Wi-Fi認証サーバにはグループ共通でMicrosoft社製NPS(ネットワーク ポリシー サーバー)を用いている。
以前のA社では、ネットワーク機器メーカーC社製の無線LANアプライアンスを利用しており、アクセスポイントとしてだけでなくその先のWi-Fi認証サーバもセットで用いていた。また、C社製品と組み合わせてオンプレミスの証明書配信システムを運用していたが、運用は煩雑になりがちで担当者の負荷増大につながっていた。
たとえば、2018年9月頃に発生したOSのバージョンアップにより電子証明書認証が動作しなくなるといった問題が発生した際には、解決のために個別対応を続けていたところ電子証明書のバージョン管理が煩雑化し、本来IT部門が取り組むべき業務に支障をきたしてしまった。
そもそもOSのバージョンによる差分を吸収してくれる役割も持つのがMDM(モバイルデバイス管理)だが、A社では未導入だったため、電子証明書に対する要件差分もIT部門が工数をかけて手動で対応する必要があった。対応工数を抑えるための臨時的な措置としてバージョンアップしないことを基本方針としていたが、結局は部署ごとの必要に応じてバージョンアップすることは避けられなかった。こうして、複雑化する電子証明書のバージョン管理の負担が増えていくこととなった。
さらに、各部署に対応する電子証明書バージョンによって、発行や更新方法が異なるという事態が発生していた。証明書運用に関する専任者を設けることで対応を継続してきたが、端末の紛失・盗難が発生した際には推奨される証明書の失効まではとても手が回らない状態となっていた。A社のIT部門には10人ほどのスタッフしかおらず、貴重な1人のスタッフを電子証明書運用の専任にしなければならないというのは、人材面でも大きな損失だった。加えて、電子証明書の失効運用全体が整理されていないことは、セキュリティ上のリスクを抱えることにもつながっていた。
長期的な経営判断からVPN、SASE等にも展開可能な "共通アイデンティティ基盤" に
こうした数々の課題に直面していたA社では、電子証明書運用のあり方を根本から見直すこととなった。そして、運用が煩雑になりがちなオンプレミスの内製ソリューションから脱却し、将来にわたって安全・安心なベンダーサービスを選定する必要があるという結論に達したのである。
CIO/CTOからは、将来的なコストの観点から、今回導入するWi-Fi認証の仕組みだけではなく、VPN、SASE等にも展開可能な “共通アイデンティティ基盤” にするよう指示された。そこには、今後クラウドネイティブやハイブリッドクラウドへ向かう長期的なIT戦略に基づいた狙いがある。せっかく利用しているIDを、Wi-Fiだけでなくクラウドサービスに対しても利用できるようにすることで、運用コストの最適化、さらにはスムーズなDXの推進も期待できるだろう。
「Enterprise PKI Manager」ならではのメリットが導入の決め手に
こうしてA社では2022年8月頃、新たな電子証明書運用ソリューションとしてDigiCert ONE Enterprise PKI Managerを導入した。他社製のソリューションにはないEnterprise PKI Managerならではの以下の3つの特徴が、同社のこれまでの課題解決、さらなるIT活用に向けても最適だと判断されたのだ。
- Microsoft Intuneとの証明書連携がUX上で簡単に行える
- 導入が約2週間と短期間で行える
- マネージドサービスのため導入後の対応が楽
IntuneとDigiCertの両方がクラウドサービスなので、自動アップデートが可能だ。加えて、証明書発行・更新についても自動化できるため、管理者がIT部門本来の業務に集中できるようになる。
短納期を守りながら強固なセキュリティを実現! 既存の課題解決以外にも数々の効果が
Enterprise PKI Managerの導入にあたって、A社ではWi-Fi認証アプライアンスのリプレイスだけでなく新社屋へのWi-Fiネットワークの敷設も併行して行っていた。この新社屋において電子証明書を用いて社内Wi-Fiに接続できるようになるまでの期間はわずか2週間ほどであり、全社的な業務への影響を最小限に抑えることができた。
こうしてEnterprise PKI Managerの本格的な運用を開始したA社では、従前の数々の課題を早々に解決できただけでなく、想定した以外の効果も得られている。
たとえば新社屋におけるWi-Fiネットワーク敷設工事のスケジュールが遅延していたのだが、電子証明書導入プロジェクトが想定していた以上の短納期を実現したため、全体スケジュールへの悪い影響を回避することができた。
また、今回Microsoft社製のNPSのWi-Fi認証で導入した証明書を、すぐにC社製ルーターとクライアントによるSSL-VPN認証用途にも展開。これにより管理負荷が高かったオンプレミスの電子証明書基盤を速やかに引退させることができた。iOSでSSL-VPNを利用するには、ある程度の設定ノウハウが必要となるが、Wi-Fiでの経験を活用できたため新たなトレーニングは不要だった。こうした経験は、新たな知見・ノウハウの蓄積にもつながるだろう。
関連会社の従業員からも、証明書発行に関わる作業が一切なくなり、また有効期限切れによる業務停止の心配も不要となったことなど、多くの改善点に対する評価の声が既に寄せられている。また、定量的な効果が早くも表れており、導入前に生じていたWi-Fiアプライアンスとの比較だけでも25%ものコストカットを実現したのを皮切りに、今後VPNなどでも同じような効果が見込めるため、さらなるコスト軽減につながっていくことが期待されている。
グローバル展開に向けて
今後A社では、Enterprise PKI Manager導入を機に、本社従業員だけでなく、関連会社のセキュリティをより強固にしつつ簡便に導入・運用していけるようなソリューションを展開していく構えだ。また、Palo Alto Networks社製 Prisma AccessによるSASEにおける認証にもEnterprise PKI Managerの証明書が展開されるなど、活用の幅を広げている。
さらに、当初Enterprise PKI Managerは日本本社のみでの展開予定であったが、この度の目覚ましい効果を受けて、海外展開についても視野に入れていく予定だ。国内関連会社への展開についても、クラウドベースのマネージドサービスであるEnterprise PKI Managerであれば簡便に進めることができるだろう。海外の関連会社への展開にあっても、デジサートのグローバルサポート体制が整っていることから、安心して導入を図ることができる。こうしてグローバル・ガバナンスをさらに強化していくことが、A社の次なる大きな戦略なのである。
ここまで、Enterprise PKI Managerの導入により、安心・安全なアクセスとITスタッフの業務改革を実現したA社の取り組みを追った。ぜひこの事例を参考に、証明書運用の自動化を検討してみてはいかがだろうか。
【無料ウェビナー】Microsoft Intune連携によるセキュリティ強化
開催日時:2022年11月24日(木) 13:00~14:00
~共通IDの運用自動化を簡単に行う方法とは~
お申込み・詳細はこちら
[PR]提供:デジサート・ジャパン