検索
Special

PQCや証明書47日問題に備えるクリプトインベントリ管理自動化

[PR/ITmedia] PC用表示
Share
Tweet
LINE
Hatena
PR

 暗号技術に関して、企業はこれから時間軸が異なる2つの脅威に直面することになる。1つ目は量子コンピュータによる暗号解読リスク。2つ目は直近の課題であるSSL/TLSサーバ証明書(以下、証明書)の有効期間短縮だ。

「証明書47日問題」と量子コンピュータによる解読リスク

 量子コンピュータの実用化が現実味を帯びる中、既存の暗号方式の一部はいずれ解読可能になると考えられている。それを見越して、攻撃者は暗号化されたデータをあらかじめ窃取して復号可能になる時期まで待つ「Harvest Now, Decrypt Later」(今盗み、後で解読する)攻撃を既に仕掛けているとみられ、金融分野ではPQC(耐量子計算機暗号)移行を見据えた検討が始まるなどの動きがある。

 将来的な量子コンピュータによる解読リスクを含む暗号移行への備えと、暗号処理に利用する秘密鍵の漏えい時の影響を抑えるため、証明書の有効期限は段階的に短くなる計画だ。従来の398日から2026年には200日に、2029年には47日に短縮する。ここまで短くなると、手作業での証明書の更新が現実的ではなくなる。

 この問題に対処する上で重要になるのが、暗号や証明書について「誰が、どこで、何を使っているか」を明らかにすることだ。だがこれらを利用するシステムがオンプレミスインフラやクラウドサービスに散在していたりスプレッドシートを使って手作業で管理していたりすると管理が困難になる。

 NTTデータ先端技術の清原学氏は「この状況こそが最大のリスクです」と警鐘を鳴らす。使用実態が分からないと、暗号方式の強化もできない。「現状を可視化しない限り、PQC移行も証明書の運用効率化も十分に果たせません」

ALT
Harvest Now, Decrypt Later攻撃のイメージ

2つのツールで暗号鍵/証明書を可視化し、管理を自動化

 こうした課題を解消する手段としてNTTデータ先端技術が提供するクラウドサービスが、「PQC対応クリプトインベントリスキャナ」だ。同サービスは、企業内に散在する暗号鍵や証明書をネットワークスキャンで検出して、クリプトインベントリ(暗号資産目録)を作成する。DigiCertの「Trust Lifecycle Manager」(TLM)とFortanixの「Key Insight」を中核要素とする。

 TLMは、システムやネットワーク内の証明書をスキャンして検出し、有効期限や発行元の認証局、使用する暗号方式などをダッシュボードで可視化する。一部の証明書について、更新期限が迫ると自動更新する機能もある。証明書の有効期限切れはシステム停止などの障害を招く可能性がある。TLMを活用すれば「更新漏れによるトラブルを防ぎやすくなります」と清原氏は説明する。

 Key Insightは暗号鍵の管理を効率化する。「Amazon Web Services」「Microsoft Azure」などのクラウドサービスやオンプレミスインフラを走査して暗号鍵を探索。暗号方式や鍵長を検出し、PQC移行に向けた影響分析を支援する。

 導入効果を最大化するのが、NTTデータ先端技術による支援体制だ。同社は、金融業界などのミッションクリティカル領域でHSM(ハードウェアセキュリティモジュール)導入や、鍵管理システムを構築・運用してきた実績を持つ。各ツールで可視化した現状を基に、「どのシステムから優先的にPQCに移行するか」「どの証明書の管理を自動化するか」といった具体的な計画の策定を支援する。

ALT
PQC対応クリプトインベントリスキャナの概要

「クリプトアジリティー」の獲得が将来のビジネスを守る

 NTTデータ先端技術が見据えるのは、暗号技術の進化にシステムを迅速に順応させる「クリプトアジリティー」(暗号の俊敏性)の獲得だ。ITインフラ技術は日進月歩であり、今日安全な暗号方式が数年後もそうだとは限らない。既存の暗号方式の安全性が崩れても、システム全体を作り直すのではなく暗号方式だけを迅速に切り替えられるようにすることが長期的な防衛策になる。

 備えが必要なのは金融業界だけではない。製品の設計データやゲノムデータなど、長期保管が必要な機密情報を扱う企業であれば業種を問わない。まずは可視化から始めて管理を自動化し、どのような暗号脅威にも即応できるようにする――。その第一歩がクリプトインベントリの作成だ。

 クリプトインベントリは「『一度作成すれば終わり』ではありません」と清原氏は注意を促す。システムの拡充を繰り返す中で、使用する暗号や証明書は増え続ける可能性がある。だからこそクリプトインベントリを常に最新の状態に維持する仕組みが欠かせない。PQC対応クリプトインベントリスキャナによって「まずは現状を知ることから始めて、システムを将来にわたって守る基礎を固めていきましょう」と同氏は語る。

ALT
NTTデータ先端技術の清原学氏(セキュリティイノベーション事業部 担当部長)

Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社NTTデータ先端技術
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2026年3月25日

ページトップに戻る