公開鍵基盤(PKI)は、内部のかどうか、ファイアウォールの外側に、マシン、ネットワークとモバイルデバイス間の通信を確保するための最も効果的な戦略、仮想サーバ、およびのIoTを支えます。マシン、デバイス、およびネットワークエンドポイントの量が急増するにつれて、関連するデジタル証明書の管理は、ライフサイクル管理に対する効率的または信頼性の高い手動アプローチを上回ります。これにより、多くの組織が自動化されたソリューションに移行するようになりました。

PKIの自動化

自動化された管理にまだ移行していない人は、ことわざにあるように、「同じままでいることの苦痛は変化することの苦痛よりも大きい」まで待っているかもしれませんが、この考え方はクラウドベースのソリューションの出現でもはや有効ではありませんサービスとして提供されます(PKI-as-a-Serviceとも呼ばれます)。

クラウドベースのPKIソリューションとデジタル証明書のライフサイクルの自動化については、組織がそのようなソリューションを採用することを妨げてきた4つの主要な神話があります。手動のデジタル証明書管理の苦痛を取り除くには、これらの神話を払拭し、PKIのベストプラクティスを使用して今日のクラウドベースのソリューションの利点を最大化する方法を学ぶ必要があります。

神話#1:PKI証明書の自動化に必要なユーティリティをインストールして構成するよりも、証明書を手動でインストールする方が簡単です。

PKI証明書管理の自動化には、追加のコスト、構成、サポート、および単一障害点のリスクを課す中間のコマンドおよび制御管理プラットフォームが必要だった時期がありました。これはもはや当てはまりません。今日のソリューションでは、エンドポイントとの通信にコネクタモデルを使用しているため、自動証明書管理環境(ACME)クライアントなどの商用証明書ユーティリティをライフサイクル管理プラットフォームに簡単に追加できます。また、ネイティブAPIを使用して、これらのユーティリティをMicrosoftIntuneなどのエンタープライズプラットフォームに組み込むこともできます。

神話#2:プライベートトラストとパブリックトラスト認証局の管理には異なるソリューションが必要です。

それどころか、今日の製品は、さまざまな種類の証明書のインストールおよび更新ルーチンを自動化するためのワンストップソリューションとしてますます利用可能になっています。特に価値があるのは、信頼できるSSL証明書と、信頼の鎖の制御を強化するために、単一のクラウドベースのサービスとWebブラウザベースの両方のオプションを介して顧客専用のプライベート中間認証局(ICA)の両方を管理する機能です。証明書管理を既存のインフラストラクチャと統合するための迅速な展開と表現状態転送(REST)APIのポータル。コストと複雑さを軽減することに加えて、すべての企業のパブリックまたはプライベートトラストデジタル証明書を管理するためのこの一枚のガラスを使用すると、証明書関連の停止のリスクが軽減されます。

ソリューションの自動化機能は、チャネル間およびさまざまなデバイスでの証明書の使用を合理化するのに十分な堅牢性を備えている必要があります。また、ソリューションが、特定の業界要件とネットワークのサイズと複雑さに対して可能な最も包括的な範囲の証明書サービスと管理機能をカバーすることも重要です。複数のソリューションにパッチを適用するという代替案は、セキュリティとロジスティックの問題に穴を開ける可能性があります。

神話#3:PKI自動化をアウトソーシングする唯一の方法は、証明書ごとであるため、管理と予算計画が困難になります。

プライベート証明書サービスと信頼できる証明書サービスの両方を、単一のクラウドベースのサービスでサポートできるようになりました。また、このサービスを単一の透過的なサブスクリプション料金で実行することも重要です。そうしないと、ユーザーは証明書のコストに目がくらむ可能性があります。プロバイダーが明確なしきい値や制限なしに証明書ごとに課金する場合、セキュリティソリューションの予算編成は、ネットワークを保護するよりもはるかに困難な作業になる可能性があります。

神話#4:手動のPKI証明書ライフサイクル管理を継続することにセキュリティ上の欠点はありません。

PKI証明書のライフサイクルを手動で管理することにはセキュリティ上の欠点があるだけでなく、そうすることは非常に危険です。今日の複雑なデバイスおよびユーザーエコシステムで手動の証明書更新または証明書データベース管理を使用することは、証明書の有効性が短くなることもあり、特に危険です。

有効期限には重要な利点があります。それは、証明書の安全性を維持するのに役立ちます。ただし、定期的に更新する必要があります。今日のその規模と複雑さは、証明書が比較的単純なインフラストラクチャを介して接続された限られた数の固定デバイス、ユーザー、およびWebページを保護していた過去とは大きく異なります。以前は、証明書を設定して何年も忘れてしまう可能性があり、ITからの手動による介入を少し行うことで、自社開発のオンプレミス証明書ライフサイクル管理ソリューションを通じて管理することができました。

今日では、日付の付いた自己主導の設定を使用した証明書の更新を見逃すのは非常に簡単です。最新のデバイスとユーザーのエコシステムは、IT部門が手動の証明書更新やデータベース管理の負担を安全に負担するには、単純に複雑すぎます。有効期限は必然的に発生し、セキュリティ上の責任が発生します。さらに、有効期限の修正に関連するワークフロー、特にシステムとサービスの相互依存関係は、非常に複雑で時間がかかる可能性があります。有効期限が切れて停止が発生した場合、問題の修正に1分ごとに費やすと、何百万ものユーザーが不満を感じ、ビジネスが失われる可能性があり、ITスタッフがミッションクリティカルなシステムから逸れる可能性があります。

PKIの自動化

組織が自動化されたソリューションに移行するときは、既存のネットワークインフラストラクチャコンポーネントとの「すぐに使える」統合と、標準プロトコルを使用した自動プロビジョニングを探す必要があります。これにより、PKI自動化を実装するための全体的なコストを75%削減できます。組織内でエンドツーエンドのPKIカバレッジを備えたソリューションを実装すると、セキュリティギャップを排除し、証明書が期限切れになるリスクを排除できるという利点があります。

組織はまた、世界的大流行の間に作成された新しいハイブリッドな職場環境に適応するのに役立つPKI自動化ソリューションを選択する必要があります。一例として、企業から大学までの組織が大量のChromebookを購入し、リモートで仕事や勉強ができるように人々と一緒に家に送りました。

今、彼らはこれらのデバイスを、PCからMacまで、そしてLinuxからWindowsまで、ますます多くの異なるデバイスとオペレーティングシステムを混合する環境に戻すでしょう。これらのデバイスのデジタル証明書を発行および管理できるPKI自動化ソリューションが必要になります。これは、パスワードなしで企業や大学のネットワークにシームレスかつ安全に接続するための前提条件です。

効果的で信頼性の高い証明書ライフサイクル管理ソフトウェアとポリシーを実装する必要性から免れる組織はありません。これは、手動で実行するのが難しい重要な機能です。デジタル証明書は、信頼できるデバイスIDの作成を可能にする強力なPKIベースのセキュリティを提供しますが、今日の急速に拡大するデバイスエコシステムでの強度と使いやすさには、有効期限があるという1つの注意点があります。

それらが更新されていることを確認することは、デジタル証明書のライフサイクル管理の利点とそれを実装するための最良の方法を理解していない組織にとっての問題点になる可能性があります。デジタル証明書ライフサイクル管理の自動化に重点を置いたクラウドベースのPKIサービスを活用している組織は、情報セキュリティ体制を強化するための準備が整っています。

コメントをどうぞ