ITmedia NEWS >
ニュース
» 2020年02月20日 08時40分 公開

この頃、セキュリティ界隈で:「安全な接続」の普及に伴う負担急増、Microsoftも対応に苦慮?

SSL証明書でMicrosoftが大失態。その背景を解説する。

[鈴木聖子,ITmedia]

 ここ1〜2年の間に、ほとんどのWebサイトが「https:」で始まるURLに切り替わった。そうでないサイトを主要ブラウザで表示すると、「安全ではありません」「保護されていない通信」などと警告される。通信の内容を暗号化してデータを守るための対策は、Webサイトに限らず、あらゆる場面で求められるようになった。しかし対応を迫られる企業の負担は増え、不手際があれば思わぬ障害を招く。あのMicrosoftでさえ、それを裏付けるようなハプニングに見舞われた。

 WebサイトでHTTPS接続が使われるのは、以前はパスワードやクレジットカード番号などを入力させるページに限られていた。しかしGoogleなどを中心に、全てのサイトに対してHTTPSへの移行を促す動きが加速。AppleのiOSでも、SafariでHTTPのWebサイトを読み込むと「安全ではありません」の表示が出るようになった。

photo iOS版SafariでHTTPのWebサイトを読み込んだところ

 WebサイトをHTTPS接続に切り替えるためには、サイト運営者がSSLサーバ証明書を取得して自分が使っているサーバにインストールする必要がある。暗号化通信の仕組みに必要な暗号鍵の管理も欠かせない。証明書は期限が切れる前に更新しなければならない。

 こうした対策は、クラウド通信やモバイル、IoT機器との通信などでも必須とされ、企業が証明書と暗号鍵の導入や管理を徹底しなければならない場面は急増している。

 そうした中で企業が苦慮している実態が、セキュリティ担当者を対象に実施された調査で浮き彫りになった。デジタル証明書の問題が原因で、想定外のダウンタイムやアプリケーションの障害が起きたという回答は73%に上る。55%は、過去2年の間に証明書関連の障害を4回以上経験したと回答した。

 この調査は、公開鍵インフラ(PKI)サービスを手掛けるKeyfactorが調査機関のPonemon Instituteに委託して、米国とカナダの企業でITと情報セキュリティを担当する幹部や技術者600人あまりを対象に実施した

photo Keyfactorの調査レポート

 回答者が自分の組織でデータの保護や認証システムのために使っていると推定する暗号鍵や証明書は平均で8万8750件。しかし回答者の74%は、自分たちの組織が使っている暗号鍵や証明書の数は正確には分からないと答えた。それがどこにあるのか、いつ期限が切れるのかも把握しきれていない。

 それでも、暗号鍵や証明書の安全対策に不備があれば、自分たちの組織に対する信頼を失墜させかねないと認識する担当者は76%を占める。

 それを地で行くようなトラブルに見舞われたのがMicrosoftだった。2月3日にグループチャットサービスの「Microsoft Teams」で発生したアクセス障害。MicrosoftはTwitterを通じ、「認証証明書が期限切れになったために、同サービスを使っているユーザーに問題が発生した」ことを認めた。

 Slack対抗を目指すMicrosoftにとって、このミスは痛い。メディアでも「本当に恥ずかしい失態」(TechRadar)などと報じられる羽目に。

 Twitterでは「Outlookのリマインダを設定し忘れたのかな」「いや、Outlookの証明書も期限が切れていたから、カレンダーにイベントを追加できなかったんだよ(笑)」などの冗談が飛び交い、「こんなことが起きるのって自分だけかと思ってた。気が楽になった」というユーザーも。

 Microsoftにとどまらず、過去にはEricssonも、証明書の期限切れを原因とするネットワーク障害を発生させていた。クラウドやモバイルが普及する中で、こうした事態が起きればユーザーや顧客に大きなダメージを生じさせかねない。

 うっかりミスだけでなく、認証局の不正が指摘されて証明書が失効になったり、暗号鍵が流出したり、暗号化の仕組みに関わる脆弱性が発覚するといった問題も相次ぐ。KeyfactorはPKIサービスを手掛ける立場から、「信頼の確立を目的としているはずの暗号鍵や証明書が、障害やセキュリティ侵害を発生させることもある」と強調し、そうした事態を防ぐための対策を促している。

Copyright © ITmedia, Inc. All Rights Reserved.