PKIはもはやクラウド/IoT開発の「基幹技術」、最新のセキュリティ調査書公開:IoTセキュリティ(2/2 ページ)
暗号化技術などのデジタルセキュリティ対策を行うnCipherは、2020年11月11日、クラウドやIoTなどデジタルアプリケーション開発においてサイバー攻撃対策の要となる公開鍵認証基盤(PKI)に関する調査レポートを公開した。PKIを活用する企業の世界的な急増や、その中での日本のセキュリティ動向などがレポート中で示された。
「パスワードのみ」で管理する企業は日本では少数派
PKIの管理方法としてどのような手段を取っているかを質問したところ、「管理者向け多要素認証を使う」という回答が最も多かった。特に日本では、こうした方法を採用していると回答した担当者が多く、全体の78%が導入していると分かった。一方で「セキュリティ対策はパスワードによるものだけを使っている」と回答した人は日本の担当者の11%で、グローバル平均の23%と比べても少なかった。この点について、シンドウ氏は「パスワードだけではセキュリティ対策として不十分だと理解している日本の担当者は多いようだ」と評価する。
HSMを用いたオフライン管理の重要性
シンドウ氏は今回のレポート調査結果を踏まえた上で、PKIを使いながら既存の重要なビジネスのユースケースを守っていくという視点も必要になる。究極的にはアプリケーションにおけるトラストの基盤を守る手段が重要だ」と語った。また、こうしたPKIの基盤を守る手段として、昨今ではPKIの秘密鍵をハードウェアベースで管理するHSM(ハードウェアセキュリティモジュール)の利用が高まっているとも指摘した。
「PKIにおいて一番大切な要素は、ルートCA(認証局)、発行元CAの安全性をいかにして高められるかという点だ。証明書の安全性が侵害を受けると、その証明書が発行された全てのアプリケーションの運用が台無しになってしまう。このため、CAに関しては秘密鍵を保護するHSMなどを用いて、オフライン環境で確立することが望ましいとされている」(シンドウ氏)
HSMを導入することで、暗号化プロセスの運用を守りつつ、アプリケーションのデータの安全性を保証することが可能になる。改ざんへの耐性だけでなく、高度なセキュリティ要件が求められる場合でも秘密鍵を的確に守れるようになる。なお、レポートによれば日本では既にHSMを使ってオフラインのルートCAを確立、運用している企業が多い。HSMを導入している企業は世界平均では47%だったが、日本企業では70%が既に導入済みだったという。
シンドウ氏は今回のレポート結果を踏まえて、「CAをオンプレミスで活用している企業も多いが、最近ではマネージドサービスと組み合わせて運用している人も多い。このトレンドはさらに強まると予想される。今後は5G通信の産業への本格展開が進む中で、IoTデバイスのユースケースも増えていくはずだ。そこでも、機能改ざんを防ぐための証明が必要になり、PKIそのものの重要性がさらに増す。こうした世界的な潮流を鑑みると、いまやPKIはデジタル開発の『基幹技術』としての位置を占めていると言えるだろう」と展望を明らかにした。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- IoTデバイス開発で最低限押さえたいセキュリティのポイント
製品のIoT化が進む中、IoT製品のセキュリティ対策の必要性も増している。そういう中で米国デジサートは電子証明書がセキュリティ確保のカギを握ると訴えている。デジサートでIoTセキュリティ担当バイスプレジデントを務めるマイク・ネルソン氏に、IoTデバイスセキュリティのポイントについて話を聞いた。 - シマンテックがIoTセキュリティに本腰、車載ネットワークの異常検知を実現
シマンテックは、自動車向けのセキュリティソリューションの新機能「Symantec Anomaly Detection for Automotive」を発表した。車載制御システムをつなぐCANネットワークにおける異常なトラフィックを検知することができる。 - 現場と連携するセキュリティ責任者は8倍有能!? テナブルが調査結果を報告
Tenable Network Security(テナブル)は、調査会社のForrester Consultingと共同で実施したセキュリティ業界の調査レポートを発表した。世界各国の800人以上の事業責任者およびセキュリティ責任者を対象に実施したもので、テナブルとしては初の試みとなる。 - ULがIoT機器のセキュリティレベルを5段階でレーティング、短期間かつ安価に評価
UL Japanは、開発した製品が米国や欧州のIoTセキュリティの法規制に準拠することを示す「IoTセキュリティレーティング」のサービスを日本国内向けに提供開始すると発表した。IEC 62443など従来のIoTセキュリティの国際標準に関する認証を取得するのと比べて、短期間で評価が完了するとともに、コストも大幅に少なくて済むことが特徴だ。 - IoT機器のセキュリティレベルを無償で診断、CCDSがイスラエル企業と提携
IoTセキュリティプラットフォームを展開するイスラエルのVDOO Connected Trustは、日本法人のビドゥジャパン株式会社の設立を発表。併せて、重要生活機器連携セキュリティ協議会(CCDS)と、日本国内の消費者向けデバイスのセキュリティを促進で提携することも明らかにした。 - 進む企業のクラウド移行、セキュリティ対策はデバイスやネットワークとともに
マカフィーが2020年の事業戦略を説明。従来の「デバイスからクラウドまでの保護」に加えて、「クラウドネイティブでオープンな統合セキュリティの提供」を戦略に追加し、企業のクラウド移行に対応可能なセキュリティソリューションの展開に注力する方針だ。