PKIはもはやクラウド／IoT開発の「基幹技術」、最新のセキュリティ調査書公開：IoTセキュリティ（2/2 ページ）

[池谷翼，MONOist]

「パスワードのみ」で管理する企業は日本では少数派

　PKIの管理方法としてどのような手段を取っているかを質問したところ、「管理者向け多要素認証を使う」という回答が最も多かった。特に日本では、こうした方法を採用していると回答した担当者が多く、全体の78％が導入していると分かった。一方で「セキュリティ対策はパスワードによるものだけを使っている」と回答した人は日本の担当者の11％で、グローバル平均の23％と比べても少なかった。この点について、シンドウ氏は「パスワードだけではセキュリティ対策として不十分だと理解している日本の担当者は多いようだ」と評価する。

PKI管理に関わる課題感＊出典：Entrust［クリックして拡大］

HSMを用いたオフライン管理の重要性

　シンドウ氏は今回のレポート調査結果を踏まえた上で、PKIを使いながら既存の重要なビジネスのユースケースを守っていくという視点も必要になる。究極的にはアプリケーションにおけるトラストの基盤を守る手段が重要だ」と語った。また、こうしたPKIの基盤を守る手段として、昨今ではPKIの秘密鍵をハードウェアベースで管理するHSM（ハードウェアセキュリティモジュール）の利用が高まっているとも指摘した。

PKIにおけるHSMなどオフラインデバイスによる管理の重要性が増す＊出典：Entrust［クリックして拡大］

　「PKIにおいて一番大切な要素は、ルートCA（認証局）、発行元CAの安全性をいかにして高められるかという点だ。証明書の安全性が侵害を受けると、その証明書が発行された全てのアプリケーションの運用が台無しになってしまう。このため、CAに関しては秘密鍵を保護するHSMなどを用いて、オフライン環境で確立することが望ましいとされている」（シンドウ氏）

　HSMを導入することで、暗号化プロセスの運用を守りつつ、アプリケーションのデータの安全性を保証することが可能になる。改ざんへの耐性だけでなく、高度なセキュリティ要件が求められる場合でも秘密鍵を的確に守れるようになる。なお、レポートによれば日本では既にHSMを使ってオフラインのルートCAを確立、運用している企業が多い。HSMを導入している企業は世界平均では47％だったが、日本企業では70％が既に導入済みだったという。

　シンドウ氏は今回のレポート結果を踏まえて、「CAをオンプレミスで活用している企業も多いが、最近ではマネージドサービスと組み合わせて運用している人も多い。このトレンドはさらに強まると予想される。今後は5G通信の産業への本格展開が進む中で、IoTデバイスのユースケースも増えていくはずだ。そこでも、機能改ざんを防ぐための証明が必要になり、PKIそのものの重要性がさらに増す。こうした世界的な潮流を鑑みると、いまやPKIはデジタル開発の『基幹技術』としての位置を占めていると言えるだろう」と展望を明らかにした。

⇒その他の「IoTセキュリティ」のニュースはこちら