Comments
Transcript
Symantec Managed PKI で 運用の複雑さを緩和し TCO(Total Cost of
WHITE PAPER Symantec Managed PKI で 運用の複雑さを緩和し TCO(Total Cost of Ownership)を 削減 Copyright ©2014 Symantec Corporation. All rights reserved. Symantec と Symantec ロゴは、Symantec Corporation または関連会社の米国およびその他の国における登録商標です。その他の会社名、 製品名は各社の登録商標または商標です。製品の仕様と価格は、都合により予告なしに変更することがあります 。 WHITE PAPER Contents はじめに 3 複雑なオンプレミス PKI 3 オンプレミス PKI の実際のコスト 4 ソフトウェアが無料の場合 Managed PKI Service とオンプレミスソリューションの比較 4 4 前提条件 4 ソフトウェア費 5 インフラ費 6 コスト総計 8 Symantec Managed PKI 7 の導入によるメリット 8 結論 9 用語集 9 WHITE PAPER Symantec Managed PKI 7 で運用の複雑さを緩和し TCO(Total Cost of Ownership)を削減 はじめに 複雑なオンプレミス PKI 企業がハイレベルのセキュリティを求める理由は、機密データ保 他のテクノロジーソリューションと比べると、PKI を実装するため 護の要件に準拠するためや、信頼できるエコシステムの構築、企 には認証ソフトウェアやそれに対応するインフラ以外にも多くのも 業のデジタル資産を不正アクセスから守るためなど様々です。企 のが必要です。オンプレミス PKI の実装時には、トレーニングを 業、政府機関、そしてインターネット経由で接続しているコミュニ 受けた専任者がそのためのインフラを構築し、管理、保守してい ティにとって、PKI(Public Key Infrastructure)は認証、電 く必要があります。証明書に使用される鍵を確実に保護するため 子署名(デジタル署名)、および暗号化を実現するための安全性 には、安全性の高い設備だけでなく、優れたポリシーと手順が不 と信頼性に優れた最適な標準となっています。 可欠です。また、連続稼働を実現するためのフェイルオーバー機 PKI のコア技術は暗号化ですが、PKI のメリットを効果的に活用 するためには証明書の発行、失効など、証明書ライフサイクル管 理の仕組みを正しく構築する必要があります。また、PKI の導入 環境が、すべて同じになるとは限りません。暗号化された電子メー 能、および拡張性の高いインフラの必要性についても考慮しなけ ればなりません。さらに、PKI が利用できなかったために、業務 に支障が出る可能性もあるため、可用性も大きな懸念材料となる ことがあります。 ルを社内で送受信するアプリケーションなど、単純なアプリケー オンプレミス PKI を実装する上で、ルート証明書および安全な証 ションのみに対応できればよい環境もあれば、国家の安全保障に 明書の発行プロセスはとても重要です。セキュリティ、本人確認 関わるサイトやネットワークを保護する目的で物理的アクセスと論 の機能、手順などが適切なレベルに達していないと、ルート証明 理的アクセスを統合する複雑な方法を実現している環境もありま 書の安全性が損なわれ、企業全体が危険にさらされる可能性が す。 あります。ルート証明書が危殆化してしまった場合は、そのルー アプリケーションの種類にかかわらず、PKI ソリューションの導入 および管理は複雑な作業になる場合があります。PKI は他のテク ノロジーソリューションとは異なり、トレーニングからポリシーの ト証明書を管理する認証局(CA:Certificate Authority)が 発行したすべての証明書が危殆化し、有効性が疑問視されること になり、PKI 全体の信頼性が脅かされます。 策定に至るまで、あるいはデータセンターの保護から証明書の管 PKI で何よりも重要なのは、主要な構成要素が「信頼」であると 理に至るまで、使用されるソフトウェアでは対応できないほどの広 いう点です。企業が社外のサードパーティとの通信や取引を安全 い分野に影響します。安全性の高い PKI 環境の構築は、PKI 実 に行うために PKI を使用する場合、信頼できる第三者機関の認 装時のコストに反映されることになります。このようなコストは時に 証局が発行したルート証明書を利用する必要があります。企業自 気付かれなかったり忘れられたりしますが、ソフトウェアの購入費 身が認証局となって証明書を発行した場合、その証明書は社外 用よりも大幅に高額になる場合があります。 からは信頼されない可能性が非常に高くなります。そのため、企 それが特に顕著なのが、企業がデータセンターにインストールし、 保守するオンプレミス(自社運用型)型の PKI ソフトウェアの場 合です。本ホワイトペーパーでは、PKI を実装する際にかかる「目 業間の通信には「信頼できる認証局」による別の PKI 基盤が必 要になります。 あるいは、独立している 2 つ以上の組織で、相互認証による信頼 に見えないコスト」について考察していきます。また、容易に実 基盤を構築する方法もあります。この場合、 いずれかの組織のルー 装でき、コスト効率に優れた方法でありながら、信頼性が高く、 ト認証局階層が、もう一方の組織の認証局階層に存在する認証 企業アプリケーションに認証、検証、暗号化の機能をシンプルな 局に対して下位認証局証明書を発行します。こうすることにより、 方法で提供できる Symantec Managed PKI 7 の特長についても説 相互認証による信頼ネットワークの参加メンバーは、それぞれ相 明します。 互運用可能な方法で作業できるようになります。しかし、相互認 証基盤の構築は、コストが非常に高くなったり、多大な時間を要 したりする可能性があります。 3 WHITE PAPER 企業が PKI の実装を検討する際、ソフトウェアのライセンス、ハー Managed PKI Service と オンプレミスソリューションの比較 ドウェア、インストールサービスなど、ソリューションに従来必要 オンプレミスソリューションの代わりに利用できるのが、企業の オンプレミス PKI の実際のコスト とされるコストのみ考慮しがちです。しかし、PKI を社内に導入 するかどうかを決定する際には、さらに多くの要素について検討 する必要があります。多くの場合、ソフトウェアとハードウェアは、 ニーズに合わせて PKI の機能を提供する Managed PKI Service です。Managed PKI Service は、拡張性と可用性を確保しながら、 企業の負荷を軽減します。ポリシー、処理プロセス、証明書の管 オンプレミス PKI ソリューションの TCO のごく一部にすぎません。 理は、Managed PKI のサービスプロバイダが行います。 拡張性に優れ、信頼性が高く安全なオンプレミス PKI を構築する また、Managed PKI Service は拡張性に優れており、拡大し続ける には、初期投資だけではなく、次のようなメンテナンスコストにつ いても慎重に検討する必要があります。 ▪▪ソフトウェアの取得と保守 ▪▪ハードウェアとネットワーク基盤 ▪▪安全な施設 ▪▪ポリシーおよび手順の作成と監査 ビジネスニーズにも容易に対応できます。オンプレミスソリューショ ンを拡張するには、多くの場合、ソフトウェアのインスタンス を別 にインストールしなければならず、ハードウェアやバックアップ / 災害時の復旧に加え、別のインフラまで用意する必要があります。 Managed PKI Service とオンプレミスソリューションと比較する と、 Managed PKI Service の方が PKI の実装コストを大幅に 削減で きることが分かります。ここでは、PKI ソリューションを実装する 際に必要な、ソフトウェア、インフラ、スタッフの 3 つの主要コスト ▪▪証明書ライフサイクルの管理 について考察します。 ▪▪可用性の高い検証基盤(証明書失効リスト(CRL)/OCSP 前提条件 (Online Certificate Status Protocol)) ▪▪エンドユーザのサポート ▪▪IT トレーニング ▪▪バックアップと災害復旧の機能 ▪▪ユーザとアプリケーションの増加に対応できる拡張性 以下に示すコスト分析は、3 年間で必要な継続的コストと、初年 度だけに発生する初期投資コストに基づいています。 金額はすべて US ドルで示しており、一般公開されている GSA Advantage(米連邦政府調達局が運営するオンライン取引サイト) での価格をベースにしています。プロフェッショナルサービスのコ ストは、同等のサービスを利用したときの業界平均をベースにし ています。分析に使用されたユーザ / 証明書の数は 1,000 件で ソフトウェアが無料の場合 サーバのオペレーティングシステム(OS)に付属している「無料の」 PKI を実装すると、低コストで PKI ソリューションを実現できるよ うに思えますが、目に見えない作業やインフラにかかるコストが発 生するため、結果的にこのタイプのオンプレミスソリューションは 高コストになります。 このように社内で構築する場合、PKI 基盤を構築し、ニーズに合 わせてカスタマイズし、保守する責任はすべて企業が負うことになり ます。社内の IT スタッフだけで追加コストが発生することもな PKI を実装できる、と企業は考えがちですが、社内の IT スタッフには オンプレミス PKI ソリューションを効果的に実装するために必要な 専門知識がない場合もあるため、企業は保守のために大量の IT リ ソースを投入できる体制を整えておかなければなりません。監査ロ グの保管や証明書失効リスト CRL)の作成などは重要ですので、 トレーニングを積んだ専任の PKI スタッフ、あるいは外部コンサル タントが必要です。これらを軽視すると、信頼する認証局(トラス トアンカー)の信頼性や PKI の価値が低下する恐れがあります。 4 あり、企業での平均的な実装環境を表しています 1。 WHITE PAPER ソフトウェア費 また、災害時の復旧対策にかかる費用に加え、大規模な企業に Symantec Managed PKI 7 の場合、セットアップ費用が 1 度だけ 発生し、 その後はサービスの運用費が継続して発生します。サポー トはサービス費用に含まれ、ソフトウェアライセンスや保守にかか る費用はありません。オンプレミスソリューションの場合、ソフト ウェアライセンス、保守、サポートにかかる費用は企業が負担す ることになります。 導入する前によく実施される、テスト環境での検証にかかる費用 も必要になります。Symantec Managed PKI 7 の場合、災害時 の復旧対策については、標準の認証業務運用規程(CPS)にす でに含まれています。 以下の表から、オンプレミスソリューションとしてソフトウェアを取 得し、社内で実装する費用が、Managed PKI Service よりも非常に 高いことがわかります。 総額 Managed PKI Service 初期投資 継続して発生 プロダクション環境 総額 初期投資 継続して発生 プロダクション環境 アカウントのセットアップ $5,000.00 なし 登録局(RA) $30,128.00 なし Managed PKI Service の年間利用料 なし $20,000.00 デジタル ID $94,920.00 なし シートあたりの年間費用 なし $31,000.00 メールプラグインアプリケーション $16,190.00 なし サポート なし なし サポート なし $24,858.00 小計 $5,000.00 $51,000.00 小計 $141,238.00 $24,858.00 テスト環境 テスト環境 アカウントのセットアップ なし なし 登録局(RA) $15,064.00 なし Managed PKI Service の年間利用料 なし なし デジタル ID $1,187.00 なし シートあたりの年間費用 なし なし メールプラグインアプリケーション $202.00 なし サポート なし なし サポート なし $2,896.00 小計 $0 $0 小計 $16,453.00 $2,896.00 災害時の復旧対策 アカウントのセットアップ Managed PKI Service の年間利用料 5 オンプレミス PKI 災害時の復旧対策 なし なし なし なし 登録局(RA) なし なし デジタル ID なし なし シートあたりの年間費用 なし なし メールプラグインアプリケーション なし なし サポート なし なし サポート なし なし 小計 なし なし 小計 なし なし ソフトウェア費の合計 $5,000.00 $51,000.00 ソフトウェア費の合計 $157,691.00 $27,754.00 WHITE PAPER インフラ費 以下の表で示すインフラのコストは、最小限に見積もったものであ インフラについては、オンプレミスソリューションの場合のみコスト が発生します。Symantec Managed PKI 7 では、自社で運用する インフラは必要がないため、インフラの取得と保守にかかるコスト を節約できる上に、インフラの構築と管理に必要な IT に関する労 力が抑えられます。 ます。安全性の高い建物やデータセンターを有していない企業や、 安全性の高い方法で機器にアクセスできない企業は、PKI システ ムを保護するために施設のセキュリティレベルを強化する費用がさ らに必要になります。 総額 Managed PKI Service 初期投資 オンプレミス PKI 継続して発生 ハードウェア 総額 初期投資 継続して発生 ハードウェア サーバ なし なし サーバ(Dell) $8,800.00 $1,760.00 負荷分散機能 なし なし 負荷分散機能(Foundry) $19,500.00 $3,900.00 暗号鍵管理用ハードウェア なし なし 暗号鍵管理用ハードウェア (Safenet) $42,393.00 $6,359.00 小計 $0 $0 小計 $70,693.00 $12,019.00 ソフトウェア 6 り、安全性の高い設備があらかじめ存在することを前提としてい ソフトウェア オペレーティングシステムのライセンス なし なし オペレーティングシステムのライセンス (Microsoft) $4,116.00 $823.00 認証、自動化、バックアップのライセ ンス なし なし 認証、自動化、バックアップのライセ ンス(各種) $4,600.00 $920.00 ディレクトリサーバのライセンス なし なし ディレクトリサーバのライセンス (LDAP) $2,000.00 $400.00 小計 $0 $0 小計 $10,716.00 $2,143.00 インフラ費の合計 $0 $0 インフラ費の合計 $81,409.00 $14,162.00 WHITE PAPER 人件費 以下のコスト比較では、PKI ソリューションの実装と管理にかか PKI は複雑な技術であり、オンプレミスソリューションの場合は、 知識が豊富なスタッフが不可欠です。IT スタッフまたはコンサル タントに求められる作業は、必要なソフトウェアとハードウェアコ ンポーネントの実装、ポリシーと手順の作成と適用、証明書ライ フサイクルの管理、災害復旧プランの策定など、多岐にわたります。 る人件費を計算しています。Symantec Managed PKI 7 を導入し た場合に必要なのは、 サービスの利用を管理する管理者だけです。 トレーニング費用も不要です。コスト計算では、管理者としての 労働時間を専任の常勤スタッフの 4 分の 1 とし、常勤スタッフ 1 人あたりの年間費用を 8 万ドルとしました。Managed PKI Service の場合は、実装、統合、コンサルティングにかかる費用は発生 しません。以下の表から、オンプレミスソリューションには人件 費が非常にかかることがわかります。IT に関する作業負荷は大き いままで、非常に高い運用コストが発生することになります。 Managed PKI Service 総額 初期投資 継続して発生 プロフェッショナルサービス 総額 初期投資 継続して発生 プロフェッショナルサービス 実装(初期インストール) なし なし 実装(初期インストール) $17,600.00 なし システム統合(PKI 対応アプリケー ション) なし なし システム統合(PKI 対応アプリケー ション) $16,000.00 なし インターネットセキュリティコンサル ティング(PKI ポリシー) なし なし インターネットセキュリティコンサル ティング(PKI ポリシー) $88,000.00 なし システム管理(PKI 管理者) なし $20,000.00 システム管理(PKI 管理者) $160,000.00 $160,000.00 小計 $0 $20,000.00 小計 $281,600.00 $160,000.00 トレーニング 7 On-premise PKI トレーニング 管理者コース なし なし 管理者コース $5,000.00 なし PKI 総合コース なし なし セキュリティマネージャ統合コース $7,500.00 なし ツールキットコース なし なし Java 開発者向けのセキュリティ ツールキットコース $7,500.00 なし 小計 $0 $0 小計 $20,000.00 $0 人件費の合計 $0 $20,000.00 人件費の合計 $301,600.00 $160,000.00 WHITE PAPER コスト総計 3 年間にかかるコストを計算すると、オンプレミスソリューションは 3 つの主要コスト全体で取得および実装にかかる総額を計算して みると、Symantec Managed PKI 7 の場合は 7 万 6,000 ドルです が、オンプレミスソリューションの場合は 58 万ドルを超えます。継 年平均 32 万 8,000 ドルで、総額 98 万ドルになります。一方、 Symantec Managed PKI 7 の場合は、年平均 7 万 2,000 ドル、 3 年間で総額 21 万 8,000 ドルとなります。 続して発生するコストは、オンプレミスソリューションが Symantec Managed PKI 7 のほぼ 3 倍に上っています。 総額 Managed PKI Service 初期投資 継続して発生 ソフトウェア費の合計 $5,000.00 $51,000.00 インフラ費の合計 $0 $0 人件費の合計 $0 $20,000.00 人件費の合計 総額 $5,000.00 $71,000.00 総額 Symantec Managed PKI 7 の導入によるメリット Symantec Managed PKI 7 は、ホスティングサービスを利用する ソリューションであり、認証、暗号化、電子署名に必要な電子 証明書に関するすべての管理(発行、失効、更新、鍵預託、ステー タス表示、レポート作成)を実現します。Symantec Managed PKI 7 を導入することで、オンプレミス PKI を実装する場合のようなコ ストや時間をかけずに、PKI を実装することができます。 Symantec Managed PKI 7 が、大手企業、政府機関で選ばれて いるのは、次のような理由からです。 ▪▪TCO の低減。初期投資、および PKI を担当する IT スタッ フのコストを大幅に削減できます。 ▪▪迅速な導入。ウェブサービスアプリケーション、ネットワーク デバイスに対して迅速に PKI を実装できます。 ▪▪シームレスな統合。Symantec Managed PKI Service は、既に 存在している組織のアーキテクチャに統合でき、高コストのユ ーザプログラミングが不要です。 ▪▪容易な運用。Symantec Managed PKI 7 の実装は容易であり、 膨大な数の証明書も容易に管理できます。 ▪▪高い拡張性と信頼性。シマンテックのインフラは高く信頼され て おり、数百万のユーザにまで対応できる拡張性に加え、増 大 するビジネスニーズに対応できる高い柔軟性も備わっています。 8 オンプレミス PKI ソフトウェア費の合計 インフラ費の合計 総額 初期投資 継続して発生 $157,691.00 $27,754.00 $81,409.00 $14,162.00 $301,600.00 $540,700.00 $160,000.00 $201,916.00 ▪▪市場をリード。シマンテックのポリシーは、長年にわたる実績 に裏打ちされたものであり、多くの業界および様々な規模の 企業において効果が実証されています。Symantec Managed PKI 7 は、Avaya Inc.、CertiPath LLC、米教育省などの パ ートナー組織や企業を始めとする、数千もの組織において、オ ンラインデータ、システム、プロセスを保護する役割を果たして きました。 ▪▪信頼できるソリューション。シマンテックは、世界で最も長 く 稼働している商業用 PKI プラットフォームを運用し、1 億 300 万件を超えるデバイス証明書を発行してきました。 WHITE PAPER 結論 用語集 Symantec Managed PKI 7 は、インフラおよび IT スタッフにかかる 認証局(CA:Certificate Authority)― 公開鍵基盤(PKI: 高コストを削減することで、規制遵守、社内機密データの保護、 Public Key Infrastructure)において、 電子証明書を発行、 失効、 外部取引先との信頼性の高い通信を可能にします。 一時停止する権限がある信頼できる第三者機関。 10 年以上にわたり、シマンテックは PKI サービスを提供する 証明書失効リスト (CRL:Certificate Revocation List)― 「信頼できるプロバイダ」として、あらゆる業種の企業や政府組 有効期限より前に失効された証明書のリスト。定期的に発行され、 織にサービスを提供してきました。Symantec Managed PKI 7 は、 認証局によって電子署名されます。このリストには、一般に CRL オンプレミスソリューションのような複雑さ、労力、コストを伴うこ 発行者の名前、発行日、次回の CRL 発行日、失効した証明書の となく、組織のニーズに合わせた高レベルの保護を実現します。 シリアル番号、および失効した具体的日時や失効理由が記載され シマンテックのサービスを導入することで、高いセキュリティ対 ます。 策費用をとるか、組織の信頼を失わせるセキュリティ違反をとるか の二者 択一を迫られることはなくなります。重要な電子商取引デ ータの すべてに対して PKI を実装できます。 認証局運用規程 (CPS:Certification Practice Statement)― 認証局 または RA が証明書発行において採用する業務運用方法 が記述されたドキュメント。このドキュメントは、必要に応じて認 証局毎に改訂します。 クレデンシャル(Credential) ― 個人または主体のデジタル ID を示すフォームファクタ。その個人または主体で必要な / 実行 される認証レベルに基づいて、認証局などの信頼できる機関が フォームファクタを発行します。電子証明書は、フォームファクタ の種類の 1 つであり、 トークンやハードウェアセキュリティモジュー ルなどの別のフォームファクタと組み合わせることができます。 電子証明書(Digital Certificate)― 公開鍵 / 秘密鍵のペア をベースとする X.509 ファイル。このファイルは、個人または主 体の ID に公開鍵を結び付けます。電子証明書は、 認証、暗号化、 電子署名のために使用されます。 電子署名(Digital Signature) ― 安全性が高く信頼できる 電子版の署名。電子署名により、検証済みのユーザ ID、ドキュ メントの整合性、タイムスタンプ、署名済み電子ドキュメントの否 認防止が得られます。 鍵生成(Key Generation) ― 公開鍵および秘密鍵を生成、 ドキュメント化、保管するための信頼性の高いプロセス。 秘密鍵(Private Key)― 電子署名の作成、および対応する 公 開鍵によって暗号化されたメッセージまたはファイルを復号する た めにも使用される(所有者が秘密情報として保持する)鍵。 公開鍵(Public Key)― 一般に公開され、対応する秘密鍵を 使用して作成された署名を検証するために使用される鍵。アルゴ リズムの種類によっては、公開鍵をメッセージまたはファイルの暗 号化に使用し、対応する秘密鍵で復号することができます。 公開鍵基盤(PKI:Public Key Infrastructure)―電子証 明書の作成、管理、保存、配布、失効に必要なハードウェア、 ソフトウェア、個人、ポリシー、手順のすべてを説明する包括的 な用語。 9 WHITE PAPER 登 録 局(RA:Registration Authority) ― 証 明書の申 請、失効、一時 停止に関する行為をサポートする、認 証局に よって承認された主体。RA では証明書の申請の承認も行いま す。RA は証明書申請者の代理ではありません。また、認可され ている RAA(登録局管理者(RAA:Registration Authority Administrator) )以外には、証明書申請を承認する権限を委譲 できません。 登録局管理者(RAA:Registration Authority Administrator)― RA の業務を遂行する RA のスタッフ。 1. このホワイトペーパーは、事例を比較し、Managed PKI の導入メリット、および Managed PKI を実装する際にかかる直接コスト(ユーザサポートやソリューション関連コス トなど)におけるメリットを自主的に評価していただくために作成されました。本書は財務または投資上の助言を提供することを目的としておらず、そのようなものとして依拠さ れるべきではありません。本書で示されている情報は、製品導入をご検討いただけるよう問題を明らかにするためだけに使用されています。また、取り上げた事例はすべて仮定の ものであり、説明をわかりやすくするためだけに使用されています。導入および投資のご判断は、この比較情報のみに基づいて行うべきではありません。本書には、明示的か黙示 的かを問わず、いかなる種類の表明も保証もありません。ご判断結果について、シマンテックは一切保証いたしません。 10