Special
» 2018年11月28日 10時00分 公開

IoTに耐量子暗号技術を:シマンテックからSSL/TLS/PKI事業を引き継いだデジサートが目指すもの

DigiCert(デジサート)はサーバ証明書の最大手として知られている。それだけでなく、サーバ向けの証明書技術の一部を共用してIoT向けのマネージドサービスも展開している。製造業から医療機関まで幅広いニーズがあるのだという。今後はブロックチェーンや量子時代の暗号を利用した次世代のデバイス認証の開発にも取り組む。銀座の新オフィスオープンに合わせて来日したCEOとCTOに同社の強みと目指すところを聞いた。

[PR/@IT]
PR

 2017年10月31日に米SymantecのWebサイトセキュリティ事業とPKIソリューションを引き継ぎ、SSLサーバ証明書(以下、TLS証明書)分野のグローバルリーダーとなった米DigiCert(デジサート)。事業買収に伴い、VerisignやNorton/SymantecブランドのTLS証明書はDigiCertブランドへと変更され、多くのユーザーが日々のインターネットアクセスのなかでDigiCertのサービスを利用するようになった。

 現在、グローバル2000企業の80%が同社のTLS証明書を利用し、1日に280億件以上のコネクションをさばくPKIソリューションのトッププロバイダーだ。

 DigiCertは2005年に設立され、TLS証明書のような「サーバ証明書」の他、PDFやアプリケーションを署名する「コードサイニング証明書」、クライアントにインストールしデバイス認証に用いる「クライアント証明書」などの事業を手掛けていた企業だ。2015年にはVerizonのTLS証明書事業も買収している。

 さらに2015年からは、証明書サービスの基盤技術である暗号化や署名、配布の技術を用いて、IoTプラットフォーム事業も推進してきた。これは、IoTデバイスを証明書ベースで認証、管理するためのPKIマネージドサービスなどをソリューションとして提供するものだ。Symantecの関連事業を買収したことによって、こうした既存の事業はより強固なものになり、セキュリティ業界において独自の存在感を放つ企業となった。

 国内展開は、1996年に設立された日本ベリサインから始まっている。2012年にSymantecによる買収により同社の100%子会社化となり、2014年シマンテック・ウェブサイトセキュリティに社名変更。2017年のDigiCertによる買収でデジサート・ジャパンに変わったという経緯だ。

 同社のサービスを利用しているといっても、多くの国内ユーザーにとって「新生デジサート」の認知度はそれほど高くないだろう。今回、米DigiCertのCEO(Chief Executive Officer)であるJohn Merrill氏と、CTO(Chief Technology Officer)であるDan Timpson氏が来日、同社のこれまでの取り組みや技術的な強み、今後のビジネス展開などについて話を聞く機会を得た。

 新生デジサートは、国内の企業ユーザーに何をもたらすのか。同社が手掛けるTLS証明書とPKIソリューションという2つのサービスからひもといてみよう。

1年で100万件以上のTLS証明書をリプレース

 DigiCertのTLS証明書サービスと聞いてまず思い浮かぶのは「GoogleとSymantecのサーバ証明書をめぐるせめぎあい」ではないだろうか。Googleが2017年9月に「Google Chromeでは、Symantecが発行するTLS証明書を段階的に無効化する」との表明を行った。これにより、Webブラウザでhttps通信を行うために利用される、既にWebサーバにインストール済みサーバ証明書が無効になるというリスクが表面化した。

 両社の交渉が難航し、ユーザー企業も大きな影響を受けることが予想される中、解決に向けて助け舟を出したのがDigiCertだった。Symantecから2017年10月に事業を引き継ぎ、およそ1年かけて、Symantec発行のTLS証明書を無償でDigiCert製に置き換え、当初購入したライセンスの期限終了まで信頼性を担保できるよう支援を続けてきた。Merrill氏は取り組みの経緯をこう話す。

DigiCertのCEOを務めるJohn Merrill氏

 「2017年12月1日にSymantec発行TLS証明書のリプレースを発表し、時間と人材を投入して、証明書失効による影響を最小限に抑えようとしました。そのためには、認証と発行を担うSymantecのバックエンドシステムを当社独自のアーキテクチャに置き換え、全てのお客様の再認証を行う必要がありました。また、認証業務やサポート業務のために担当者を採用し研修を行った他、一括発行を行うためのツールも作成しました」(Merrill氏)

 この1年で置き換えられた証明書は100万件を超える。エンタープライズ向けサービスでは、一括処理のツールによって、証明書の移行に関わる作業を単一の画面に表示して、代替証明書の発注と発行を一括して実行できる。証明書の置き換えは数クリックで済み、新しい証明書の更新も同様だという。

 国内についても、証明書の再発行と入れ替えを無償で実施した。現在は、アクセス上位100万の公開Webサイト(Alexaが発表するもの)について、日本市場でGoogle Chrome 70の警告対象となる証明書のうち91.6%が対応済みだという。Chrome以外を利用しているユーザーがいることも踏まえ、今後も、Webブラウザの警告に関する問い合わせや、サポート窓口を常時開設し、ユーザーのサポートに当たっている。

 「ほとんどのお客様は再発行など望んでいませんでした。当社独自のアーキテクチャへの切り替えには大規模な作業が必要で、2018年2月初めまでは混乱が続きましたが、その後は目立った遅れもなく、再発行を順調に進めることができました。Chrome 70以降は、新しいDigiCertの基盤を使った新しい旅路が始まっています。苦労もありましたが1年かけて最終的には顧客満足につながったと思います」(Merrill氏)

PKIを活用したIoT向けソリューションの提供

 Merrill氏によると、DigiCertのコアバリューは大きく3つある。「顧客と従業員に配慮すること」「デジタルセキュリティで正しい行いをすること」「課題解決に向けたイノベーションに取り組むこと」だ。

 このコアバリューをより推進するために取り組んでいる事業がPKIを活用したIoT向けソリューションだ。PKIは、クライアント証明書と認証局(CA)などで構成する基盤を使って、ユーザーやデバイスの機密性、完全性を担保する仕組みだ。TLS証明書とPKIサービスのトップベンダーであるDigiCertにとって、デバイスが爆発的に増えるIoT分野でPKIサービスを提供することは、顧客やユーザーの課題を解決し、正しい行いをするうえで避けては通れないものだ。CTOのTimpson氏は、こう話す。

DigiCertのCTOを務めるDan Timpson氏

 「われわれのコア技術は、認証(Authentication)、Encrypt(暗号化)、Integrity(完全性)の3つです。これらは、情報セキュリティに欠かせない要素であり、また、TLS証明書やPKIサービスの根幹を成しています。この3つをスケーラブルな基盤で提供できるプロバイダーは決して多くありません。これまでのノウハウや知見を生かしてIoT向けのPKIソリューションとして提供することはわれわれにしかできないことです」(Timpson氏)

 IoT向けのPKIソリューションは、IoTデバイス向けのクライアント証明書の認証や発行を一括管理するマネージドPKI、組み込みソフトの改ざんを検知するコード署名、通信の暗号化などをソリューションとしてDigiCertが提供するというサービスだ。IoTでは、デバイス(モノ)をインターネットにつなぐことが前提だ。現在、オフィスや工場などではセキュリティが確保された無線LAN環境で接続したり、VPNが組み込まれたSIMサービスなどを使ったりして、デバイスをインターネットにつないでいる。

 IoTについては、LPWA(Low Power Wide-Area Network)やBLE(Bluetooth Low Energy)などの無線通信規格の標準化が進む一方で、通信環境の暗号化や完全性の確保、暗号化などについては、IoTに適した形でのサービスがまだ定まっていない状況にある。エンタープライズではクライアント証明書を使ったIEEE 802.1X認証が標準だが、演算能力が低く、帯域も十分ではないIoTデバイスの管理には適さないケースもでてくるという。

 「IoTはさまざまな業種で取り組みが進んでいます。製造設計データを安全に管理したい製造業から、患者の個人情報や診療記録などを管理したい医療機関まで、ネットワークや通信、デバイスに関して高いセキュリティを確保しようとしている組織は数多くあります。DigiCertでは、IoTのサブセットに適したセキュリティ機能を、PKIベースのマネージドサービスとして幅広く提供しようとしています」(Timpson氏)

ブロックチェーンを使ったデバイス認証なども視野に

 TLS証明書とPKIソリューションは、同社の2本柱となる事業だ。TLS証明書については、Webサイトの「常時SSL化」が進むなか、無償で利用できる「Let's Encrypt」のような証明書発行、認証サービスも登場している。ただ、これらはドメイン認証(DV)に限られており、企業の実在を確認する企業認証(OV)や、企業の所在地なども確認するEV認証には対応していない。

 Merrill氏は「TLS証明書へのユーザーの関心が高まることは歓迎すべきことです。WebサイトのSSL/TLSで保護されることでユーザーは安全にWebサイト上でサービスを受けることができるようになります。必要に応じてOVやEVを使っていただき、自社の顧客により安全な状態でサービスを提供していただければと思います」と話す。

 とはいえ、SSL/TLSの必要性はまだまだ広く認識されていない面もあるという。「Webサイトの開発者や利用者だけでなく、経営レベルでSSL/TLSの重要性を把握し、取り組みのなかに生かしてほしい」と訴える。

 一方、PKIソリューションは、ユーザー企業のIoTの取り組みで通信やデータ、デバイスのセキュリティを確保することはもちろん、証明書管理に伴うネットワーク管理者やセキュリティ担当者の負荷軽減にもつながるものだ。

 IoTが例えばスマートシティのような形で広域的な取り組みに変われば、社内LANだけでデバイスを管理することにとどまらず、WANを通じてユーザーやパートナーとのやりとりでもセキュリティを確保することが求められる。通信を暗号化するのはもちろん、完全性を保つためにOTA(Over The Air)によるソフトウェア更新も署名を検証しながらセキュアになされなければならない。

 「既にDigiCertでは、IoTカメラやスマートテレビなどを含め、世界5億件を超えるデバイスに対して証明書を発行しています。スマートメーターやヘルスケア用ウェアラブルデバイスなど、今後、デバイスの数はさらに増えていくでしょう。デバイスが増えるに伴いデバイスを狙った脅威も増えていきます。それらに対してはエコシステムと新しいテクノロジーで対抗しようとしています」(Timpson氏)

 IoTデバイスへの攻撃は既に顕在化している。ランサムウェアによる被害で、日本企業の製造ラインが止まる事案が頻発したが、発生源をたどると、海外の顕微鏡システムだったケースもある。Timpson氏は、IoTは演算能力の制約条件や製品ライフサイクルの長さがPCやスマホと異なるため、デバイス設計段階からサービスの連携を見据えた取り組みが重要だとする。

 具体的な取り組みとしては、GemaltoやISARAとパートナーシップを結んで量子コンピュータによる解読にも耐える「PQC」暗号ソリューションの実用化やブロックチェーンを使った認証「Blockchain Identity Validation」、それを企業が容易に活用できるようにするブロックチェーンのサービス提供「Blockchain as a Service」、予測的なセキュリティ「Predictive Security」などに取り組んでいくという。

 Merrill氏は「SSL/TLSとPKIの専門企業として常に改善を施しています。問題があってから気付くのではなく、問題が起こらないように、起こったときも素早く対応できるようにしたい」と強調する。SSL/TLSやPKIはユーザーには見えにくい基盤技術だ。だからこそ、ユーザーもパートナーも意識して取り組んでいくことが重要だ。

GINZA SIXのデジサート・ジャパン新オフィスにて

Copyright © ITmedia, Inc. All Rights Reserved.


提供:デジサート・ジャパン合同会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2019年12月27日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。