端末認証におけるPKIの役割

PKIは、デジタル証明書の技術的基盤である公開鍵基盤（Public Key Infrastructure）の頭字語です。 デジタル証明書の果たすべき目的の一つは、運転免許証やパスポートの目的と同様です。つまり身元を証明し、一定の手続きを可能にするデジタル身分証明書であるということです。 EntrustのPKIソリューションの詳細については、こちらをご覧ください。

PKI（公開鍵基盤）は、デバイス認証の重要な要素です。 弱いデバイス認証は、接続されたデバイスとそれがアクセスするシステムを、デバイスまたはそのネットワーク上にある豊富で貴重な情報にアクセスしようとする悪意のある行為者に搾取されやすい状態にします。 EntrustのPKIソリューションは、ユーザー体験とセキュリティのバランスを取り、合理的なデバイス認証体験を提供します。

システムやネットワークに接続するデバイスは、ITインフラに脆弱性を生み出し、ハッカーやその他の悪意ある人物に悪用される可能性があります。 これらのアクセスポイントは、強力なデバイス認証プロトコルで保護します。

デジタルでビジネスを行うことが当たり前になった今、PKIはこれまで以上に求められています。 特に組織がホスト型PKIソリューションを選択した場合、それは通信を管理し保護するための拡張性のある手段になります。 ホスト型PKIは、オンプレミスのハードウェアやソフトウェアの必要性が非常に少なく、専用の安全な施設、社内のIT専門家を必要としないため、PKIの実装を簡素化することができます。 Entrust Managed PKI Servicesは、組織のベストプラクティスと個別のビジネスニーズに従って、さまざまなサービスを管理する専門家を提供します。

デバイス認証は、エンドユーザーのニーズやセキュリティ要件に応じて、さまざまな形態があります。 種類としては、以下のようなものがあります。

• PKI認証は、公開および非公開の暗号キーとデジタル証明書を使用してユーザーのIDを確認します。 PKIとデジタル証明書は、製造レベルでのデバイスの検証や、BYODの場合にはデバイスの所有権とアクセス許可の検証など、デバイス自体にも使用されます。
• 二要素認証（2FA）は、ネットワークへのアクセスを許可するために、ユーザーに2つの認証要素の入力を要求します。 この種類のデバイス認証は、MFAのサブセットです。
• 多要素認証（MFA）は、デバイス認証のために、ユーザーに複数の検証クレデンシャルを組み合わせて入力することを要求します。
• バイオメトリクス認証は、ネットワークへのアクセスに、指紋スキャンや顔スキャンなどのバイオメトリクスデータを要求します。 この種類のデバイス認証は、なりすましが難しい反面、実装にコストがかかります。
• パスワード認証は、ネットワークにアクセスするために、ユーザーにパスワードの入力を要求します。 これは電子メール認証よりも強力ですが、パスワードは盗難やフィッシングの影響を受けやすいものです。
• メール認証は、初めてデバイスやブラウザからログインする場合、ユーザーにメールからリンクをクリックすることを求めます。 これは、あまり安全でない種類の端末認証です。

PKIの主なユースケースは、日常的に使用されるデバイス証明書です。 BYODの拡大により、ID認証がより複雑になり、攻撃対象が拡大し、リスクが高まっています。 企業の認証情報やデータを格納するこれらの個人用デバイスには、より厳重なセキュリティ管理が必要です。

モバイルデバイス管理（MDM）ソリューション とPKIは、通常、ユーザーを認証し、デバイスを検証するための通信を確保するために導入されます。 EntrustのMDMソリューションは、VMWARE（旧称Airwatch）、BlackBerry、UEM、MobileIron、IBM MaaS360、JAMF、SOTI MobiControl、Microsoft InTune、WorkspaceOneと統合可能です。 当社のソリューションは、IDベースのアクセスやセキュリティ対策に、強力なデジタル証明書を提供します。 最も利用されているMDMベンダーと統合できる使いやすい単一のプラットフォームであり、証明書管理を簡素化する柔軟なインフラを提供します。 また、エンタープライズモビリティやBYODにも対応しており、シンプルなデバイス登録プロセスやシームレスなMDM統合により、モバイルデバイスのデジタルIDを容易に管理することができます。 証明書ポリシーはフルカスタマイズが可能です。

IoT（モノのインターネット）の普及も、PKIの利用を後押ししています。 他のスマートデバイスと接続する場合、より多くのデバイスが企業のサーバーに接続されるため、高い信頼性を確保するための強力なセキュリティとクレデンシャルが必要です。 IoTやコネクテッドデバイスを取り巻く環境はまだ完全に成熟していないため、IoT向けのデバイス証明書はまだ初期段階にあります。 しかし、PKIが今後重要な役割を果たすことは間違いありません。

ガートナーの『2020年以降のトップ戦略予測』によると、IT企業の30%は、労働力における拡張人間に対応するために、BYODポリシーをBYOE（Bring Your Own Enhancement）で拡張するとしています。 この調査では、自動車産業や鉱業界で、作業員がウェアラブルを使用して安全性を高めている事例がすでにあることを指摘しています。 同様に、旅行業界やヘルスケア業界も、ウェアラブルを活用することで生産性を向上させています。

複数の組織がIoTのセキュリティガイドラインを作成しています。 それには以下が含まれます。

• IoT Security Foundationの「Best Practice Guidelines」
• Open Web Application Security Project（OWASP）の「Security Guidance」
• Groupe Spéciale Mobile Association（GSMA）の「GSMA IoT Security Guidelines & Assessment」
• 米国 モノのインターネット（「IoT」）デバイスでのセキュリティの実装に関する米国商務省国立標準技術研究所（NIST）の特別刊行物800-160（「ガイダンス」）
• クラウドセキュリティアライアンス（CSA）の「Future Proofing the Connected World: 13 Step to Developing Secure IoT Products」

デバイスの認証と承認は別物ですが、IoTデバイスのセキュリティ確保にはどちらも重要です。 デバイス認証はデバイスのIDを確認するものですが、デバイス承認はデバイスがネットワーク内でどのようなセキュリティで保護されたリソースにアクセスできるかを決定するものです。 効果的なIoT戦略には、デバイス認証とデバイス承認の両方が重要です。 デバイス認証とデバイス承認の違いについて詳しくはこちらをご覧ください。