PKI、アウトソースかインハウスか (1)

2001/12/5
November 21, 2001, InternetWeek, By KELLY JACKSON HIGGINS

 米Perot Systemsは、PKI(公開鍵インフラ)に関して壮大な計画を立てていた。それは、ユーザーは、一度承認されれば、デジタル証明を提示するだけでアプリケーションへのアクセス、電子フォームへのデジタル署名、および企業ネットワークへのログオンが可能になるというものだ。

 だが、PKIをサポートする既製アプリケーションを見つけることは、最近まで困難だった。同社は、モバイルおよびリモートユーザーが社内ネットワークに安全にアクセスする目的でPKIを構築してから4年後となる来年の3月、ついにデジタルID機能を搭載した業務アプリケーションをテストすることになった。テストが成功すれば、社内にいる社員と外出中の社員の両方が「PeopleSoft 8」の経費報告アプリを利用できるようになる。

 Perotでインフラ担当チーフアドバイザーを務めるGabe Long氏は、「アプリケーションベンダのPKI導入は、思ったより時間がかかった。だが、この間勉強することは多かった」と話す。

関心は高いが……

 PKIの進化はうんざりするほど遅いものだったが、ここにきてやっとソフトウェアベンダがPKIのサポートを開始しつつある。いまではマイクロソフトのWindows 2000やXPのほか、米ピープルソフトや独SAPのERPアプリケーションにデジタル証明が同梱されるようになっている。

 そして、(プライバシー/データセキュリティの厳しい規制への対応というプレッシャーを受けている)金融機関や医療機関、それに政府機関も、PKIの採用を開始している。

 PKIが活況を呈していることを示す徴候がもう1つある。先日行われた米データクエストの調査では、調査対象となった86人のITマネージャのうち、PKI製品をインストールしていたのはわずか23%だったが、69%が評価を進めているとの回答を寄せてきた。

 それでも、PKIソフトウェア/サービス市場がいますぐに成長する見込みはない。米Burton Groupのアナリスト、Dan Blum氏の予測によると、今年の全世界におけるPKIのソフトウェアおよびサービスの合計売上高は、2000年の4億5000万ドルに対し、横ばいもしくは低下する可能性もあるという。さらに、続く2002年も横ばいとなる可能性が高いという。

 多くの企業がPKIへの投資をためらっているが、PKIの採用を早くから進めた企業によると、社内情報へのアクセスをコントロールおよび管理するには、PKIは最良の手段だという。

 先のPerotと、金融サービスの米Ruesch Internationalは、異なるアプローチを取った。Perotは社内で独自に構築を進め、RueschはPKIをアイルランドのボルチモアテクノロジーズにアウトソーシングした。本稿では両社の事例を紹介しよう。

 トランザクションの4分の1をWeb上で処理するRueschでは、海外金融取引に同社のRueschLINKオンラインサービスを利用する法人クライアントの認証をデジタル証明に依存している。Rueschの副社長兼CTO Radomir Zamurovic氏は、アウトソーシングを選択した理由について、「クライアントがわれわれのサービスを安心して利用できるよう、レベルの高いセキュリティを提供する必要がある」と話す。

 一方で、社内での構築や開発を好むPerotがPKIのアウトソーシングを真剣に考えることはまったくなかった。

 リモートユーザーの認証にPKIを利用することとは別に、Perotではプロジェクト作業で利用する社内ネットワークと一部クライアントとの安全なリンクを確立するためにも同技術を利用、クライアントには大きな利益がもたらされる可能性は高いといえる。同社は、政府、医療、および金融の各分野のクライアントにPKI統合サービスを提供するために、これまで蓄積してきたPKIの専門知識とインフラを利用した。

 同社はすでに、複数の医療機関クライアント向けにPKI搭載のVPNを構築している。医療機関では患者情報の安全確保のために米連邦政府の「医療保険の携行性と責任に関する法律」(HIPAA)に準拠しなければならず、HIPAAではトラフィックを暗号化し、ユーザーの認証を行うよう定めている。

 Perotは、常に約4000人のユーザー(全社員の約半分)がリモートオフィスもしくは外出先で作業をしており、リモートユーザーによるIP-VPN経由での企業ネットワークへのアクセス管理を簡略化することがPKI構築の誘因になった。

 Long氏は、「ユーザーデータベースの保守はしたくなかった」とし、ユーザーアクセスを管理するにあたってファイアウォール(PKIほど効果的にスケーリングしない)に依存せずに済むと付け加えた。

 同社では、ポリシーや証明取得者を判断するための手順の作成から始まって、米エントラストのPKIシステムを準備し、運用を開始するまでに約100人時を要した。現在、PKIの管理を行うのはわずか2人のITスタッフで、デジタルIDの管理をはじめとするリモートアクセスの業務全体を取り仕切っている。「PKIにはほとんど手がかからない。パッチを当てたり、メンテナンスを行うぐらいだ」(Long氏)

 独自にPKIを構築する組織は、システム開発と管理を行うために数十万人規模のIT担当者と十分な予算を用意するのが一般的だ。

 Perotは、自社の証明も完全にコントロールしたいと考えているが、アウトソーシングの場合は、これは不可能だ。

 Perotのシステムでは、ユーザーのデジタル証明はそのユーザーのラップトップに保存されるが、もしこのユーザーが社外のアクセスポイントや同社のクライアントのオフィス内で作業をしているような場合には、ネットワークへのログオン時にJavaアプレットを使ってこれをダウンロードすることができる。この証明は自動的に認証機関に提示され、認証機関がユーザーの正当性と身元を確認する。

 PerotのPKIアーキテクチャは、500MバイトのRAMを搭載した米コンパックコンピュータ製のWindows NTサーバ数台上で動作する分散認証機関によって構成されている。この認証機関ソフトウェアは、デジタル証明の保管と保守を行ったり、無効になった証明に関する最新情報を提供するなどの機能を持つ。

 証明の発行と取り消しを実際に行うPKIの登録機関部分は、サーバ上の認証機関ソフトウェアと並行して動作する。また、セキュリティ管理者は自分のデスクトップクライアントから登録処理を行う。

 PKIを社内で運用する場合、確実にコントロールできるというメリットがあるが、ある程度の開発作業も必要となる。Perotでは、ユーザーの特権に関する情報をディレクトリが格納できるよう米エントラストのPKIソフトウェアとPerotのノベルのeDirectoryとを統合するためのコードを書かなければならなかった(エントラストはその後、これらの機能をPKIソフトウェアに組み込んでいる)。

 また、Perotは4月に、ワイヤレスユーザーのサポートのため、ワイヤレス関連のコンポーネントを追加した。Long氏のチームはさらに、外出先から電子メールを受信したり社内情報を取得できるよう、Windows CEユーザー向けのポータルも開発した。

 同社業務ソリューションディレクター、Jeff Smith氏は、「LANでもワイヤレスデバイスでも関係なく、どのインターネットブラウザからでもフレームワークにアクセスできる」と話す。

 Long氏もSmith氏も、同社がPKIに投資した額は明らかにはしてくれなかった。同社は3月に、経費報告書をはじめとする各種電子フォームへのデジタル署名に関連して、PeopleSoft 8アプリケーションのテストを行う。しかし、多くのPKI実装例と同じように、PerotでもPKIの使用は社内ユーザーや密接な関係にあるビジネスパートナーの認証に限定されている。同社のシステムでは、社外のクライアントから来たデジタル証明を相互認証することはできないが、これは主に会社ごとの手続きの違いや、業界内でまだ未解決の相互運用性に関する問題が原因となっている。 

*この記事は全2回です。次回は12月6日に更新予定です。

[英文記事]
PKI Decision Time

[関連記事]
PKIトップベンダーの市場拡大戦略 (@ITNews)
5分で絶対に分かるPKI (Security&Trust)
認知度アップのPKI、各社ひしめくアプライアンス製品 (@IT News)
日本ボルチモアとサイバートラストが合併 (@IT News)
凸版とボルチモアがPKI分野で提携 (@IT News)

Copyright(c) 2001 CMP Media LLC. All rights reserved

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -