証明書の混乱と自動ポスチャ管理の事例

証明書のポスチャをプロアクティブに監視していない組織は、次のような問題に直面するかもしれません。

• なりすましと中間者攻撃：誤って発行された証明書や不正な証明書は、悪性のエンドポイントを信頼できるサービスとして提示するために悪用されるおそれがあります。

• 運用の混乱：期限切れ、または無効の証明書によって、Web サイトの停止やサービスの低下が生じる可能性があります。

• コンプライアンス違反：一般データ保護規則（GDPR）、Payment Card Industry Data Security Standard（PCI DSS）などの規制に対応するためには、強力な暗号による予防対策が必要です。証明書が不足している、または未承認であれば、違反につながる可能性があります。

• ブランドの信頼性に対するダメージ：注目度の高い証明書インシデントは顧客の信頼を損ない、検査の対象となります。

証明書が、その重要性にふさわしいほど信頼性の高いセキュリティを備えているとしたらどうなるでしょうか。それを実現するのが Akamai DNS Posture Management です。本ソリューションは、誤って発行された証明書に関する最近のインシデントで明らかになった脆弱性に直接対処します。 

Akamai は、可視性のギャップと手動プロセスを排除し、こうしたセキュリティ障害が検知されないままでいることを防ぐ包括的なアプローチを開発しました。当社のソリューションは、組織による証明書セキュリティの管理方法を変革するために設計された、以下の 3 つの基本理念に基づいて運用されます。

• 可視性
• 可観測性
• 実用性

証明書のセキュリティ障害は多くの場合、「組織が、インフラにどの証明書があるのかという全体像を把握していない」という単純な問題から始まります。Cloudflare のインシデントは、まさにこれを実証しています。優秀なセキュリティチームでさえも、視界が断片化されていれば重要な資産を見落としてしまいます。 

Akamai の包括的な探索機能により、以下のとおり非常に広い領域をカバーできるようになります。

• エンドツーエンドの証明書インベントリ：Cloudflare の事例で検知を回避した証明書などのドメインベースの証明書と IP ベースの証明書を含め、環境内の証明書を探索します。証明書が社内、クラウドプロバイダー、サードパーティサービスのいずれで管理されていても問題ありません。

• DNS と証明書の統合的な監視：従来、DNS と証明書の管理は分断されてきましたが、この構造を打破し、信頼できるインフラと、これらの重要なセキュリティコンポーネント間の関係を一元的に把握できるようにします

• クロスプラットフォームの資産マッピング：証明書の発行元に関係なく、エンタープライズ CA からパブリック CA まで、完全な証明書エコシステムをマッピングします

探索だけでは十分ではありません。重要なのは、インシデントになる前に問題を察知する、継続的でインテリジェントな監視です。最近のケースでは、数か月にわたる検知の遅延が発生しており、手動監視のアプローチでは基本的にスケーリングに対応できない理由が明らかになっています。インテリジェントな監視には以下が含まれます。

• 継続的な CT 解析：手動の CT ログレビューは複数の組織で失敗しています。これを排除するために自動システムを導入し、すべての主要な透明性ログで証明書の発行をリアルタイムに監視します

• 高度な CA インテリジェンス：CA のふるまいパターンを評価する高度なプロファイリングを導入して、問題になるかもしれない発行を、組織のセキュリティポスチャに影響を与える前に特定します

• 自動化された異常検知：既存のパターン、検証要件、または組織のポリシーから逸脱した証明書を特定し、検知までの時間を数か月から数分に短縮します

• 総合的なリスク評価：基本的な有効期限の監視から高度なポスト量子暗号への対応およびコンプライアンス要件まで、複数のリスク要因に対して証明書の状況を評価します

インテリジェンスがあっても行動が伴わなければ組織は脆弱になります。最近のインシデントでは、影響を受けた企業が対応に必要なデータを持っていたケースも見受けられました。そうした企業は、効果的に行動するための運用能力が不足していただけなのです。 

行動を起こすには、次のものが必要です。

• エキスパート主導のマネージドサービス：ほとんどの組織には専用リソースが不足していますが、Akamai がこれを提供し、包括的な証明書管理をご支援します

• 構造化された修復プロセス：証明書の脅威が特定されると脆弱性に迅速に対処するための詳細なガイダンスと運用サポートを提供し、ビジネスへの影響と悪用の可能性に基づき優先順位を決定します

• エンタープライズ統合機能：包括的な API とセキュリティ情報およびイベント管理（SIEM）、セキュリティオーケストレーション、自動化、応答（SOAR）をはじめとするエンタープライズ・セキュリティ・プラットフォームとの統合により、証明書インテリジェンスを既存のセキュリティインフラと連携させます

• 継続的なガバナンスの実施：自動化されたポリシー検証を導入するとともに、インフラ全体において証明書のセキュリティ基準の一貫した維持を実現するコンプライアンスチェックを実装します

この統合的なアプローチにより、各コンポーネントが他のコンポーネントを強化する自己強化サイクルが確立されます。その結果、時間の経過とともに進化し、改善する証明書セキュリティプログラムが実現します。なぜなら、これまで観察されてきた検知の失敗や長時間にわたる露出が、ユーザーの環境では不可能になるからです。

証明書のポスチャの不備はどの企業でも発生する可能性があります。誤って発行された証明書が増加し、注目度の高いサービスに影響を与えている現状を考えると、その懸念は募るばかりです。CA またはブラウザベースの検知を待つだけでは対策として不十分であり、手遅れになってしまいます。

証明書のポスチャ管理を採用したリーダーは、運用中の意識が高まり、制御も容易になります。これは、デジタルトラストの維持、顧客データの保護、規制および評判に関するリスク軽減に必要なことです。Akamai DNS Posture Management を活用することで、組織は、正確に、自信を持って、迅速に行動できるようになります。