詳細を見る

端末認証におけるPKIの役割

The rapidly evolving technology landscape is changing how many and what kinds of devices connect to a network. Device identities are also growing in number, and certificate lifecycles are shrinking, which means PKI is no longer just infrastructure. It has become a critical control point for maintaining security. It’s used to both authenticate devices and also simplify that authentication process for end-users. 今日、BYOD(Bring Your Own Device)ポリシーやIoT(モノのインターネット)デバイスによって、ネットワークへのアクセスポイントは飛躍的に増えており、強力なデバイス認証プロトコルはネットワークセキュリティ戦略において重要な役割を担っています。

PKIは、デジタル証明書の技術的基盤である公開鍵基盤(Public Key Infrastructure)の頭字語です。 デジタル証明書の果たすべき目的の一つは、運転免許証やパスポートの目的と同様です。つまり身元を証明し、一定の手続きを可能にするデジタル身分証明書であるということです。

EntrustのPKIソリューションの詳細はこちら

PKI(公開鍵基盤)は、デバイス認証の重要な要素です。 弱いデバイス認証は、接続されたデバイスとそれがアクセスするシステムを、デバイスまたはそのネットワーク上にある豊富で貴重な情報にアクセスしようとする悪意のある行為者に搾取されやすい状態にします。 EntrustのPKIソリューションは、ユーザー体験とセキュリティのバランスを取り、合理的なデバイス認証体験を提供します。

Devices connecting to your systems and networks can introduce vulnerabilities that hackers and other bad actors can exploit. Protecting these access points requires strong device authentication.

As organizations continue to operate digitally at scale, the number of connected devices, applications, and machine identities is growing rapidly. PKI provides a scalable foundation for managing and securing these identities, but as certificate volumes increase and lifecycles shrink, organizations must adapt how they manage authentication to avoid outages and risk.

Hosted and managed PKI solutions help address these challenges by reducing the need for on-premises infrastructure while enabling centralized visibility, automation, and governance. Entrust Managed PKI Services provides expert support to help organizations enforce best practices, automate certificate lifecycle management, and maintain secure, compliant operations as environments grow in complexity.

デバイス認証は、エンドユーザーのニーズやセキュリティ要件に応じて、さまざまな形態があります。 種類としては、以下のようなものがあります。

  • PKI認証は、公開および非公開の暗号キーとデジタル証明書を使用してユーザーのIDを確認します。 PKIとデジタル証明書は、製造レベルでのデバイスの検証や、BYODの場合にはデバイスの所有権とアクセス許可の検証など、デバイス自体にも使用されます。
  • 二要素認証(2FA)は、ネットワークへのアクセスを許可するために、ユーザーに2つの認証要素の入力を要求します。 この種類のデバイス認証は、MFAのサブセットです。
  • 多要素認証(MFA)は、デバイス認証のために、ユーザーに複数の検証クレデンシャルを組み合わせて入力することを要求します。
  • バイオメトリクス認証は、ネットワークへのアクセスに、指紋スキャンや顔スキャンなどのバイオメトリクスデータを要求します。 この種類のデバイス認証は、なりすましが難しい反面、実装にコストがかかります。
  • パスワード認証は、ネットワークにアクセスするために、ユーザーにパスワードの入力を要求します。 これは電子メール認証よりも強力ですが、パスワードは盗難やフィッシングの影響を受けやすいものです。
  • メール認証は、初めてデバイスやブラウザからログインする場合、ユーザーにメールからリンクをクリックすることを求めます。 これは、あまり安全でない種類の端末認証です。

PKIの主なユースケースは、日常的に使用されるデバイス証明書です。 BYODの拡大により、ID認証がより複雑になり、攻撃対象が拡大し、リスクが高まっています。 企業の認証情報やデータを格納するこれらの個人用デバイスには、より厳重なセキュリティ管理が必要です。

モバイルデバイス管理(MDM)ソリューション とPKIは、通常、ユーザーを認証し、デバイスを検証するための通信を確保するために導入されます。 EntrustのMDMソリューションは、VMWARE(旧称Airwatch)、BlackBerry、UEM、MobileIron、IBM MaaS360、JAMF、SOTI MobiControl、Microsoft InTune、WorkspaceOneと統合可能です。 当社のソリューションは、IDベースのアクセスやセキュリティ対策に、強力なデジタル証明書を提供します。 最も利用されているMDMベンダーと統合できる使いやすい単一のプラットフォームであり、証明書管理を簡素化する柔軟なインフラを提供します。 また、エンタープライズモビリティやBYODにも対応しており、シンプルなデバイス登録プロセスやシームレスなMDM統合により、モバイルデバイスのデジタルIDを容易に管理することができます。 証明書ポリシーはフルカスタマイズが可能です。

IoT(モノのインターネット)の普及も、PKIの利用を後押ししています。 他のスマートデバイスと接続する場合、より多くのデバイスが企業のサーバーに接続されるため、高い信頼性を確保するための強力なセキュリティとクレデンシャルが必要です。 IoTやコネクテッドデバイスを取り巻く環境はまだ完全に成熟していないため、IoT向けのデバイス証明書はまだ初期段階にあります。 しかし、PKIが今後重要な役割を果たすことは間違いありません。

ガートナーの『2020年以降のトップ戦略予測』によると、IT企業の30%は、労働力における拡張人間に対応するために、BYODポリシーをBYOE(Bring Your Own Enhancement)で拡張するとしています。 この調査では、自動車産業や鉱業界で、作業員がウェアラブルを使用して安全性を高めている事例がすでにあることを指摘しています。 同様に、旅行業界やヘルスケア業界も、ウェアラブルを活用することで生産性を向上させています。

複数の組織がIoTのセキュリティガイドラインを作成しています。 それには以下が含まれます。

  • IoT Security Foundationの「Best Practice Guidelines」
  • Open Web Application Security Project(OWASP)の「Security Guidance」
  • Groupe Spéciale Mobile Association(GSMA)の「GSMA IoT Security Guidelines & Assessment」
  • 米国 モノのインターネット(「IoT」)デバイスでのセキュリティの実装に関する米国商務省国立標準技術研究所(NIST)の特別刊行物800-160(「ガイダンス」)
  • クラウドセキュリティアライアンス(CSA)の「Future Proofing the Connected World: 13 Step to Developing Secure IoT Products」

デバイスの認証と承認は別物ですが、IoTデバイスのセキュリティ確保にはどちらも重要です。 デバイス認証はデバイスのIDを確認するものですが、デバイス承認はデバイスがネットワーク内でどのようなセキュリティで保護されたリソースにアクセスできるかを決定するものです。 効果的なIoT戦略には、デバイス認証とデバイス承認の両方が重要です。 デバイス認証とデバイス承認の違いについて詳しくはこちらをご覧ください

See how to modernize device authentication and prevent certificate-driven outages.