Comments
Description
Transcript
マネージドPKIサービスとは?
ホワイトペーパー: ビジネスアプリケーションの安全性を確保する マネージドPKIサービスとは? ビジネスアプリケーションの安全性を確保する マネージドPKIサービスとは? 本書の概要 ビジネスに不可欠なアプリケーションをインターネット上で実行するには、公開 鍵基盤(PKI)によって証明書ベースの高度なセキュリティを実現する必要があ ります。本書では、あらゆる規模の企業が迅速かつ確実に PKI サービスを導入で きるよう支援する、クラウド型の Symantec Managed PKI Service について ご紹介します。 ビジネスアプリケーションの安全性を確保する マネージドPKIサービスとは? 2 ホワイトペーパー: ビジネスアプリケーションの安全性を確保する マネージドPKIサービスとは? 目次 エグゼクティブサマリー ............................................................................................................................................................................ 1 情報資産の保護 ........................................................................................................................................................................................... 1 PKIの導入.................................................................................................................................................................................................... 1 PKIの運用における重要な要素 ........................................................................................................................................................................2 PKI導入の2つのモデル ....................................................................................................................................................................................3 シマンテックからのご提案 ........................................................................................................................................................................ 3 PKIの要素................................................................................................................................................................................................... 5 マネージドPKIサービスの機能 ....................................................................................................................................................................... 5 容易な統合 ....................................................................................................................................................................................................... 6 可用性と拡張性 ................................................................................................................................................................................................ 6 セキュリティとリスク管理 ..............................................................................................................................................................................7 専門の運用スタッフ ................................................................................................................................................................................... 7 対応範囲 ..................................................................................................................................................................................................... 8 広範なコミュニティの実現 ............................................................................................................................................................................. 8 相互認証 ........................................................................................................................................................................................................... 8 特徴のまとめ.................................................................................................................................................................................................... 8 総括 .......................................................................................................................................................................................................... 10 ビジネスアプリケーションの安全性を確保する マネージドPKIサービスとは? エグゼクティブサマリー ビジネスに不可欠なアプリケーションをインターネット上で実行するには、公開鍵基盤(PKI)より発行された証明書による高度なセ キュリティが確保されている必要があります。PKIは、最高レベルのセキュリティが必要なアプリケーションを保護し、オンラインバ ンキング/トレーディング、ウェブサービスベースのビジネスプロセスの自動化、電子署名、および電子商取引を可能にします。さらに、 ファイアウォール、仮想プライベートネットワーク(VPN)、ディレクトリ、エンタープライズアプリケーションも保護します。PKI に求められるものは、包括的な機能、社内外のアプリケーションとの容易な統合、数百万のユーザにも対応できる拡張性、24時間365 日の完全な運用、軍事レベルの物理的セキュリティの確保です。さらに、企業がパートナ、顧客、サプライヤとの間で信頼のコミュニ ティを容易に構築できるよう、支援することも求められます。 こうした重要な機能をPKIで実現しようとする場合、企業は社内にPKIソフトウェアを導入するか、信頼できるプロバイダにPKIサービ スをアウトソースするかを選択する必要があります。社内での導入には、独自開発のソフトウェア、貧弱な物理的セキュリティ、冗長 性の不足などのさまざまな欠点が存在し、PKIの実装が失敗に終わってしまうことも少なくありません。これに対し、クラウド型のPKI サービスは、TCO(総所有コスト)の削減、迅速な導入、リスクの緩和といった多くの利点があります。 Symantec™ Managed PKI Serviceは、あらゆる規模の企業が迅速かつ確実にPKIサービスを導入できるよう支援する、クラウド型の ソリューションです。このソリューションを採用することで、電子証明書の発行、一時停止、失効を社内で制御しながら、PKIの計画、 構築、保守の負担を軽減できます。また、貴重なデータの安全なオンライン転送が可能になるため、コストを削減し、プロセスを効率 化し、パートナ、顧客、サプライヤとの関係を強化できます。 情報資産の保護 金融機関、メーカー、政府機関、医療機関などの組織が、インターネットを活用してビジネスプロセスをつなぎ、通信を効率化して取 引を行うなかで、オンラインでのデータ交換時における情報資産の保護は欠かせない要素となっていますが、複雑さも増しています。 企業は機密情報を保護し、オンラインでの取引を行うパートナからの信頼を維持しつつ、オンラインデータに関する政府や業界の規制 を遵守する必要があります。 進化を続けるウイルスの拡散やハッカーの攻撃から保護する一方、保護する環境も技術的進歩により、ワイヤレス環境にも広がってい ます。企業の情報資産の保護に関するセキュリティに期待されているものは、データ保護やネットワーク分離といったゲートキーパ的 な機能だけではなく、外部アプリケーションへの企業データの公開、ユーザ同士を結び付けることによるコラボレーションの拡大、オ ンライン取引やオンライン通信の実現といったビジネスを促進する上で必要なセキュリティ機能にも及んでいます。 PKIの導入 このような多面的な環境でアプリケーションとネットワークのセキュリティを実現する基盤が、PKIです。PKIは証明書ベースの公開鍵 暗号システムの実装と運用をサポートする、技術、基盤、業務運用を指します。PKIでは、数学的な関連性を持つ鍵のペア(秘密鍵と 公開鍵)を使用して、機密情報の暗号化や復号化、電子署名の生成や検証を行います(電子署名は、トランザクションへの署名や、リ ソースへのアクセス権を付与する前のユーザ/マシンの認証に使用されます)。PKIの主な機能は、必要に応じてユーザやアプリケーシ ョンに公開鍵を正確かつ確実に配布することにあります。PKIで利用される電子証明書は、認証局(CA)がユーザやアプリケーション に対して発行します。証明書の発行にはユーザの本人確認が必要であり、これは通常、登録局(RA)によって行われます。 1 ビジネスアプリケーションの安全性を確保する マネージドPKIサービスとは? PKIは次のような仕組みを用いて、電子証明書による情報資産の保護を行います。 認証 コンピュータやデバイスとユーザの身元を確認します。 暗号化 不正なユーザやマシンが情報を表示できないよう、データを暗号化します。 電子署名 手書きの署名と同じ効果を持つ電子的手段です。企業は電子署名によってデータの整合性を確認し、転送中に改ざんがあっ たかどうかを判断します。 アクセスコントロール ユーザやアプリケーションがどの情報にアクセスできるか、さらにユーザやアプリケーションが別のアプリケーションへの アクセスを獲得した後で、どのような操作を実行できるかを決めます。 否認防止 通信、データ交換、取引が法的に有効であり、取消不能であることを保証します。 PKIの運用における重要な要素 企業がPKIソリューションを選択する際には、PKIの技術、基盤、業務運用に関する次の要素を検討する必要があります。 PKI機能 強固なセキュリティ、容易な管理、そして証明書管理の制御を可能にするには、PKIがモジュラー設計に基づいている必要が あります。このモジュラー設計に含まれる要素には、証明書の発行/ライフサイクル管理に対する確実かつ高度なサポート、 多様な証明書タイプに対応できるプロトコル/処理能力、包括的な管理機能、記録の保存、ディレクトリの統合、およびキー マネジメントがあります。 容易な統合 企業がコストを最小限に抑え、既存の投資を活用し、さまざまな環境で互換性を保証するためには、新旧を問わずすべての サポート対象アプリケーションと容易に統合できるPKIを選択する必要があります。エンドユーザ独自開発のPKIデスクトッ プソフトウェアしか使用できないようなPKIは、望ましくありません。また、社内のIT部門だけではなく、パートナ、サプラ イヤ、顧客のさまざまなデスクトップ環境にも対応できる必要があります。 可用性と拡張性 ユーザコミュニティが24時間、PKIを使用できる必要があります。また、企業の成長に合わせ、必要に応じて数百万のユーザ にも対応できる拡張性が必要です。 セキュリティとリスク管理 インターネットベースのPKIを運用している企業が、信頼を維持し、金銭的/法的責任を最小化するためには、PKI基盤や秘密 鍵といった重要な資産を、ネットワーク経由の攻撃から守るだけではなく、これら資産を保管している物理的施設への脅威 から守る必要もあります。 専門知識 企業がPKIを適切かつ確実に導入、保守、保護するためには、PKIについての広範なトレーニングを受けたセキュリティプロ フェッショナルを雇う必要があります。 対応範囲 PKIに投資する企業が、ROI(投資収益率)を最大化し、コラボレーションを促し、ビジネスに柔軟に対応するためには、イ ントラネット、エクストラネット、インスタントメッセージング、ウェブサービスネットワーク、インターネット市場、VPN など、関連するコミュニティ全体にわたってソリューションを容易に運用できる必要があります。 これらの要素は、いずれのPKI導入モデルを選択するかという点に大きな影響を受け、PKI導入の成否を左右します。また、企業の重要 2 ビジネスアプリケーションの安全性を確保する マネージドPKIサービスとは? なデータの交換に関する短期的な計画および長期的な計画にも影響を及ぼします。 PKI導入の2つのモデル 企業がPKIを導入する際には、インハウス型でPKIソフトウェアを購入して社内に導入するか、クラウド型でPKIプラットフォームを外 部にアウトソースするかを選択する必要があります。2つのアプローチは、前述のような課題への対応力が異なることに加えて、TCO、 実装時間、成功の可能性、運用スタッフ、リスクの程度、ブランド力といった点でも異なります。 インハウス型PKI インハウス型で社内にPKIを導入する場合、企業はPKIソフトウェアを購入して、PKIサービスを自社で構築します。インハウス型PKI の導入では、企業はPKI自体に加えて、関連するすべての技術(システム、通信、データベースなど)のプロビジョニング、導入、保 守にも100%責任を負います。また、安全な施設を準備する責任もあります。安全な施設に求められるものは、施設内の物理的セキュリ ティ、安全にインターネットを利用できるネットワーク構成、冗長化システム、災害復旧機能、PKIに関する実効性のある法的対応、 財務的な責任への対策、高度なトレーニングを受けた運用スタッフなどです。これらの要素が1つでも欠けると、企業の信頼が損なわれ る可能性があります。 社内で導入したPKIが重要な成功要因に対応できるか否かに関わらず、実証されていないPKIに対する不安や、その企業自体の知名度の 低さによって、パートナ、顧客、サプライヤがPKI対応サービスの採用をためらう可能性があります。さらに、否認防止機能(第三者 によるトランザクションの監査/実証機能)が存在しない場合には、PKIの価値がさらに損なわれます。また、社内でのPKIの計画、購 入、実装、導入、テストといったプロセスに何か月もかかる場合があるため、戦略的なビジネスイニシアティブの展開や既存投資の回 収に時間がかかります。 クラウド型PKI クラウド型でPKIを導入する場合、企業はPKIの構築、導入、保守といった作業を、信頼できるサードパーティにアウトソースし、証明 書の処理、ルート鍵の保護、セキュリティおよびリスクの管理といったサービスを受けます。PKIプラットフォームを提供するプロバ イダにとっては、PKIこそがビジネスの中核であるため、大半の企業よりもはるかに多くの割合のリソースを、最先端のPKI技術やセキ ュリティ、トレーニングに注ぎ込むことができます。さらに、セキュリティプラクティス、手順、基盤も、長い時間をかけて検証され ています。このため、迅速な導入が可能になるとともに、最高レベルの可用性とセキュリティを保ちつつPKIを確実に運用できます。 また、クラウド型サービスの課金は、電子証明書を発行するシート数によりますので、企業はコストをより正確に予測し、ビジネスの 拡大に合わせてPKI機能をシンプルに追加できます。 クラウド型PKIは、ユーザ認証や証明書ライフサイクル管理に関するセキュリティポリシーを、企業が制御および実行できるという点 が重要なポイントです。 シマンテックからのご提案 シマンテックはインターネットセキュリティとPKIの業界リーダーとして、あらゆる規模の企業に対応できる、最先端の統合PKIサービ スプラットフォームをご提供しています。Symantec Managed PKI Serviceの設計とサポート対応の基になっているのは、これまでの 世界における実績です。企業はシマンテックの専門知識とインフラを活用することで、証明書の発行、更新、失効などの証明書ライフ サイクル管理全体を制御しながら、社内インフラの構築、導入、保守などの負担を軽減できます。また、ウェブサービス、オンライン でのデータのやり取り、既存のアプリケーションなどの安全性を素早く確保し、投資を早期に回収し、進化するビジネス戦略に迅速に 対応できます。 Symantec Managed PKI Serviceは、PKI導入の成功に求められる、次のようなメリットを提供します。 TCO(総所有コスト)の削減 シマンテックは、PKIプラットフォームの構築、保守、更新、安全性確保、外部監査、および運用スタッフ配置に数百万ドル を投じています。企業はSymantec Managed PKI Serviceを活用することで、安全な施設、基盤、スタッフ配置にかかるコ ストを大幅に削減できます。実際、社内のPKIシステムにかかるTCOは、ソフトウェアコストがゼロだったとしても、シマン 3 ビジネスアプリケーションの安全性を確保する マネージドPKIサービスとは? テックにアウトソースした場合よりも高くなります 。 1 迅速な導入 Symantec Managed PKI Serviceには、プラットフォーム、ポリシー、および手順があらかじめ用意されているため、従来 のソフトウェアベースのインハウス型PKIに比べると3分の1以下の時間で実装できます。 確立された基盤 Symantec Managed PKI Serviceは確立されたバックエンド基盤に基づいているため、導入を確実に成功させることができ ます。 運用コストの削減 複雑なPKIの運用と保守は、シマンテックのセキュリティプロフェッショナルが担当するため、社内のITリソースは中核的な ビジネスに集中できます。 強固なセキュリティ シマンテックは軍事レベルのセキュリティを誇る施設と業界をリードする認証業務により、最高レベルのセキュリティを保 証します。 ブランド力 シマンテックという広く知られた信頼のブランドを活用することで、企業はサプライヤ、パートナ、顧客の信用を得ること ができます。 次の表では、インハウス型PKIとクラウド型PKI(Symantec Managed PKI Service)の基本的な違いをまとめています。 クラウド型 PKI インハウス型 PKI 世界最大規模の、24 時間 365 日稼働の PKI サービスセンタ 企業がサポート基盤を設計、構築、導入し、実装や運用の負担を 適切な実装選択肢 PKI 機能 で提供される、十分な機能を備えた PKI。数百の企業にサー すべて担う。ソフトウェアベンダーには、PKI の運用経験がない。 ビスを提供してきた、長年の運用実績を持つ確かなソリュー ション。 容易な統合 広く普及しているウェブブラウザ、電子メールクライアン ト、企業向けアプリケーションなど、標準アプリケーション すべてのユーザやアプリケーションに対応させるためには独自の クライアントソフトが必要。 をすべてサポート。 可用性と拡張性 PKI バックボーンサービスと災害復旧機能は、契約を通じて 保証。高い拡張性。耐障害性に優れた高キャパシティの基盤 基盤、冗長性、災害復旧といったサービスすべてを企業側が準備。 を活用。 セキュリティとリスク管理 業界をリードする、熟練した鍵管理/証明書プラクティス。運 企業側がセキュリティ基盤をすべて準備し、自社の運用ポリシー 運用スタッフ シマンテックのセキュリティプロフェッショナルは、厳しい スタッフはトレーニングを受けるとともに、進化する技術、標準、 ッショナルは、セキュリティと PKI に関する最新の知識とス 経験不足や人員不足は導入を遅らせ、ダウンタイムを引き起こし、 用やポリシーの認証を外部で監査。 審査と高度なトレーニングを受けている。こうしたプロフェ キルを維持している。 対応範囲 CA のグローバル ネットワーク。 企業は、プライベートまたはパブリックのトラストネットワ やプラクティスを設計し、リスクを全面的に引き受ける。 およびリスクに対応するべくスキルを磨き続けることが必要。 セキュリティギャップをもたらす。 企業側がカスタムソリューションを 100%構築。相互認証や検証 は社内に限定。パートナがリスクを全面的に引き受ける。 ーク(世界最大)を選択可能。 1 「Comparing TCO:Symantec Managed PKI Service vs. On-premise Software(TCO比較:Symantec Managed PKI Service vs. オンプレミスソフトウェア)」 4 ビジネスアプリケーションの安全性を確保する マネージドPKIサービスとは? PKIの要素 シマンテックのPKIのアプローチが、インハウス型(自社構築型)のアプローチと異なる点は、ポリシーの制御や日常的な意思決定は 企業が行いつつ、シマンテックがバックエンドの処理作業を行う点です。次項では、シマンテックの優位性を説明するために、これま でに取り上げた重要な成功要因(機能、容易な統合、可用性と拡張性、セキュリティとリスク管理、運用スタッフ、対応範囲)の観点 から、PKIソリューション全体を検討します。 マネージドPKIサービスの機能 PKIの中核をなすものは、CA(認証局)およびRA(登録局)機能、申請プロセス、証明書の更新とステータス検証サービス、ディレク トリおよびアプリケーションインターフェイス、そして秘密鍵管理などを実装するソフトウェアとハードウェアです。この技術では、 強固なセキュリティ、高い可用性、および複数のアプリケーションインターフェイスをサポートする必要があります。最も重要な要件 は、PKIがモジュール型の設計であることです。これにより、企業の施設と、サポートを行うセキュアなデータセンタとの間で、PKI 機能を分けることができます。 Symantec Managed PKI ServiceのベースとなっているSymantec Trust Network™(STN)は、世界の企業、商用認証局、ウェブサ イトが求めるPKIサービスセンタのニーズをサポートし、セキュリティ、商取引、法律、およびベストプラクティスに関する最も厳し い要件を満たす、包括的で堅牢なアーキテクチャです。 図1:企業内ネットワーク認証構成イメージ図 Symantec Managed PKI Serviceは、次のコンポーネントで構成されています。 認証局(CA) 公開鍵基盤(PKI)において、電子証明書の発行、失効、停止を行う機関です。Online Certificate Status Protocol(OCSP) などのプレミアム バリデーション サービス、暗号キーマネジメント、記録の保存といった重要な機能が含まれます。 PKI Certificate Service エンドユーザが証明書を申請する際にアクセスするシマンテックでホスティングされている証明書申請用ウェブページです。 5 ビジネスアプリケーションの安全性を確保する マネージドPKIサービスとは? PKI Client 証明書ライフサイクルに関するユーザの操作性を大幅に改善するために設計されたミドルウェアです。証明書の更新の自動 化や、WiFiやVPNクライアントなどのサードパーティ製品の自動構成機能により、ユーザの手間を省きます。 PKI Manager 管理者がアカウント、ユーザ、証明書、キーマネジメントに関連する設定・管理を行うためのシマンテックのデータセンタ でホスティングされているウェブポータルです。企業は、発行する証明書のタイプを選択できます(SSL、S/MIME、IPSec、 その他の標準的なX.509証明書) PKI Enterprise Gateway セキュリティポリシー上の理由または既存のデータベースを活用したいという理由で、ユーザと証明書のデータを自社サイ トで格納したい場合にお客様のデータセンタにインストールする登録局(RA)アプリケーションです。Microsoft® Active Directory®(AD)や Lightweight Directory Access Protocol(LDAP)と連携した証明書の自動発行が行えます。 PKI Web Service Symantec Managed PKI とインテグレートするための機能を提供するシマンテックでホスティングされているウェブサー ビスです。サードパーティ製アプリケーションでは、PKI Web Service で提供される API をプログラムで使用することで、 証明書ポリシーの取得、証明書またはユーザデータの検索、証明書の申請および更新、証明書の失効が可能です。 容易な統合 PKI導入における最大の課題の1つが、社内外のアプリケーションをPKIに対応させることです。PKIベンダーが採用しているアーキテク チャが、統合の容易さとコストに影響を与えます。 標準ベースのPKIでは、アプリケーションとPKIのインターフェイスには、業界標準のインターフェイスプロトコルが使用されるか、ま たはPKIアプリケーションベンダーとのパートナーシップによって実現された標準ベースのカスタムインターフェイスが使用されます。 独自開発のPKIソフトウェアをデスクトップにインストールする必要はありません。シマンテックでは標準ベースのPKIアプローチを採 用し、100社を超える独立系ソフトウェアベンダーと協力して、Managed PKI Service向けの組み込みサポートを提供しています。ア プリケーションは、ベンダーから出荷される時点でPKIに対応しています。ほぼすべてのアプリケーションとシームレスに動作できる ように、Managed PKI Serviceには使いやすいアプリケーションプログラミング インターフェイス(API)も含まれており、お客様が 作成したアプリケーションをPKI対応にすることができます。 可用性と拡張性 ミッションクリティカルなアプリケーションをサポートするPKIには、24時間の可用性が必要であり、多数のユーザやアプリケーショ ンをサポートできるよう、スムーズな拡張性も求められます。 可用性 継続的な可用性を保証するために、Symantec Managed PKI Serviceの基盤は完全に冗長化されており、すべての重要コンポーネント に24時間365日のサービスレベルを保証します。離れた場所にあるバックアップ用の災害復旧サイトは、24時間365日、稼働していま す。これに対してインハウス型のPKI製品は、冗長性を実現できる設計ではないことが多いため、予期しないダウンタイムが生じやす くなります。さらに、離れた安全な場所に関する契約を締結しない限り、災害復旧機能が限定的になる場合があります。 拡張性 シマンテックによる電子証明書の発行は実世界で実証されており、数百から数百万のユーザに対応できるスムーズな拡張性を備えてい ます。インハウス型のPKIソフトウェアは、トランザクションに最適化されたアーキテクチャではなく、データベースやディレクトリ システムの拡張性と弾力性も限られているため、ユーザが数万人に達すると拡張性の限界が来ることがわかっています。 6 ビジネスアプリケーションの安全性を確保する マネージドPKIサービスとは? セキュリティとリスク管理 PKIを導入する企業が主に目指しているものは、ルート秘密鍵の保護、および継続的サービスの提供です。強固なセキュリティと24時 間365日の可用性を確保するには、隙のない物理的セキュリティと、健全な認証業務が必要です。しかし、物理的セキュリティがPKI 導入費用に占める割合は非常に大きく、また認証業務を十分に計画するには、セキュリティおよびリスク管理のアプローチを入念に考 慮し、丁寧に記述する必要があります。 シマンテックはセキュリティ技術に多大な投資を行い、業界をリードする認証業務運用規程を策定することで、インハウス型でPKIを 運用している企業の大半よりも高いセキュリティレベルを保証します。企業はSymantec Managed PKI Serviceを活用することで、コ ストを削減できるだけでなく、高いセキュリティと可能性を備えた施設の構築/運営というリスクを緩和できます。 物理的セキュリティ ソフトウェアベースの暗号化の実装は、改ざんや誤用を招きやすいため、ビジネスに不可欠なアプリケーションをサポートするCAには、 証明書の署名にハードウェアの暗号化モジュールを使用することが求められています。また、複数のCAをリンクさせるための基盤とな るルート鍵には、特別な保管が必要です。その秘密鍵はオフラインの安全なハードウェアに保管し、署名時の鍵の有効化には複数の運 用スタッフを関与させ、すべてのプロセスを厳密に制御および監査する必要があります。鍵の保護に特別な手法を用いるほかにも、重 要なPKI機能を持った施設には、外部から侵入できないようにすることも必須です。さらに、電源や冷暖房空調設備(HVAC)を冗長 化したり、熱や水による損傷を防ぐために特別な消防システムを導入したりする必要もあります。 シマンテックでは重要なPKI機能を、シマンテックや関連会社が24時間365日体制で運用するセキュアデータセンタに配置しています。 最高レベルのセキュリティと可用性を保証するために、Managed PKI Serviceを通じて実装されるすべてのPKIでは、ハードウェアベ ースの暗号化、身元確認を行い高度なトレーニングを受けたスタッフ、軍事レベルのセキュリティを誇る施設、厳格に監査された手続 き管理システムを採用しており、24時間のサービスレベルがサポートされます。 業務運用のサポート 企業が否認防止を保証してパートナ、顧客、サプライヤの信頼を獲得するためには、PKIの管理、日常的な運用、記録の保存に関する プロセスを、十分に定義および監査する必要があります。これは特に、企業がPKIベースの電子署名を用いて、電子商取引や文書など の情報に電子的に署名している場合に重要です。この場合、トランザクションに確実に法的拘束力を持たせるためには、健全な業務運 用と第三者により監査されたプロセスが不可欠です。 シマンテックは、PKI業務運用の開発において世界をリードしています。ビジネスプロセスは最も厳しい業界標準に対応し、監査を受 けています。シマンテックの認証業務運用規程(CPS)には、STNパブリックCAサービスの基盤となる業務運用について記載してあり ます。この規程は、同種の文書の中で最も包括的であると認められており、PKI業務運用の基盤として世界で活用されています。 シマンテックの業務運用には、証明や監査の対象となるCA鍵確立/管理プロセスと、複数の関係者によるすべての鍵マテリアルの厳格 な制御が含まれています。シマンテックは、WebTrust™ for CAおよびISAE3402/SSAE16という既存のセキュリティガイドラインに 関して第三者によるセキュリティ監査を毎年受けています。また、米国国防総省の定義するポリシーおよび手順に即して証明書を発行 していることが承認されています。シマンテックのプロセスが米国公認会計士協会(AICPA)のISAE3402/SSAE16に準拠しているこ とは、KPMG により認定されています。 ® 専門の運用スタッフ PKI導入の適切な計画、実装、保守には、高度なトレーニングを受け、実務経験を有するスタッフが必要です。企業が社内でPKIを導入 するためにセキュリティチームを編成する場合、開発スタッフやITスタッフに専門外の業務をさせるか、当該業務に関するトレーニン グを既存スタッフに受けさせるか、新たな人材を雇用する必要があります。PKIの導入後には、急速に変化するセキュリティトレンド や技術に対応するべく、継続的なスタッフへのトレーニングが欠かせません。全体的な経験不足や、個別の技術に対する知識不足、実 証されていないセキュリティポリシーなどがあると、社内での導入が遅れたり、予期しないダウンタイムが生じたり、セキュリティが 損なわれる恐れがあります。 7 ビジネスアプリケーションの安全性を確保する マネージドPKIサービスとは? 豊富な経験を有するシマンテックのセキュリティプロフェッショナルにPKI導入をアウトソースすることで、企業は人件費を最小限に 抑え、リスクを緩和し、導入を迅速化できます。シマンテックはインターネットの信頼サービスを提供する大手プロバイダとして、PKI の開発、実装、保守に関する幅広い経験を有しています。 Symantec Managed PKI Serviceチームは、セキュリティとPKI分野に専念しており、最先端の技術やセキュリティプラクティスに対 応できるよう常にスキルの更新を図っています。 対応範囲 PKIは、特定のパートナを含む企業のエクストラネットから、複数の企業にわたる業界固有のウェブサービスネットワーク、あらゆる ユーザを受け入れるグローバルコミュニティ(インスタントメッセージングなど)に至るまで、いかなる規模のコミュニティにも対応 できます。シマンテックの広範なコミュニティの実現と相互認証により、イントラネットを越えてコミュニティを容易に開発できるよ うになります。 広範なコミュニティの実現 非公開のプライベートPKIを希望する企業もありますが、市販のウェブブラウザや他のデスクトップアプリケーションが、購入時の設 定のままで自社の証明書を認識および信頼できるようにしたいと考える企業もあります。これが実現すれば、PKI運用企業の管理下に ない組織のデスクトップシステムに、特別なソフトウェアをインストールまたは構成する必要がなくなるため、幅広いPKIコミュニテ ィの確立が非常に容易になります。Symantec Managed PKI Serviceによって企業は、分離されたプライベートPKIか、コミュニティ または業界全体にわたるPKI、あるいはSTNにリンクされたPKIを構築できます。STNは、シマンテックと各国の関連会社が運用する、 グローバルな相互認証PKIです。STNのルート鍵は、Microsoft やNetscape のクライアントなど主要な市販デスクトップ製品すべてに ® ® 事前にインストールされているため、製品のユーザはPKIで発行された証明書をすぐに認識できます。インハウス型PKIを導入した場合、 相互証明書やルート鍵を手作業で交換およびインストールする必要があるため、コミュニティの構築に大変な手間がかかります。 相互認証 相互認証は、ある認証局が別の認証局のために証明書を発行するプロセスであり、複数の企業にわたるPKIコミュニティを証明書チェ ーンによってリンクできるようにします。相互認証に必要となる手順は、証明書の発行だけではありません。相互認証は特別なビジネ スの取り決めであり、セキュリティプラクティスや法的責任の分担といった課題についての合意も含まれます。シマンテックは、複数 の企業にわたる相互認証を行う認証局構造を多数構築しており、世界中の金融機関や商用認証局などの組織グループをリンクさせてい ます。 企業はシマンテックのソリューションを採用することで、あらゆる関係者のセキュリティ要件に対応する、相互認証プラクティスや合 意を確立し、統合できるようになります。インハウス型PKIソフトウェアの場合、企業は自社で相互認証プロセスを開発し、実行する 必要があります。 特徴のまとめ シマンテックは、包括的なPKIソリューションを提供できる、数少ないベンダーです。 8 ビジネスアプリケーションの安全性を確保する マネージドPKIサービスとは? シマンテックソリューションの主な特徴は以下のとおりです。 PKI コンポーネント シマンテックのアプローチ PKI 機能 証明書の署名用の暗号化ハードウェア すべての CA はハードウェア暗号化を使用。FIPS 140-1 レベル 3 を取得 (ソフトウェア暗号化に特有の、プライベート CA の鍵の改ざんと漏えいのリスクを回避) ルート鍵を常にネットワークから分離し、安全な施設に保存。厳格に管理され、監査されたシーク ルート鍵の保護 ユーザ鍵の管理 デュアル鍵サポート 失効 レットシェアリングによるアクティブ化(ルート秘密鍵をオンラインの運用環境に保存している場 合に発生する、侵入者/管理者による機密情報の漏えいおよび侵入のリスクを回避) ユーザの暗号鍵を企業でバックアップ。歴代の鍵をすべて保持。分散キーリカバリー技術による強 固な保護 あらゆるアプリケーションで、シングルまたはデュアル鍵ペアをサポート (アプリケーションの要件や機能によります) 証明書失効リストを定期的に発行。ウェブサーバや標準ブラウザで失効を有効化。OCSP をサポー ト 容易な統合 標準ベースの PKI と独自開発の PKI ディレクトリ/データベース技術 標準ベースの PKI。デスクトップ上に独自開発ソフトウェアは不要。100 を超える ISV パートナ。 120 を超えるアプリケーションに対応 企業は LDAP、Active Directory から選択可能。 可用性と拡張性 冗長性 24 時間 365 日のサービスレベル、冗長サーバ、データベース、ISP、通信を保証 災害復旧 リモートのセキュアサイトで 24 時間 365 日体制の災害復旧バックアップを保証 セキュリティとリスク管理 施設のセキュリティ PKI コンポーネント 防備を強化した建物、5 層のセキュリティ。二重の生体認証によるアクセスコントロール、24 時間 体制の監視、動作探知、ネットワークセキュリティ監査 シマンテックのアプローチ スタッフのセキュリティ 調査目的の審査、スペシャリストトレーニングを実施 第三者による監査 第三者(KPMG®)の SSAE16 による監査 顧客の業務運用のサポート 否認防止 CA は、確かな業務運用が実証されている STN に参加するか、自社の業務運用を確立することが可 能。シマンテックでは、業務運用のコンサルティングや CPS を提供 評価および監査を受けた暗号化マテリアル管理と、安全な記録の保存により、紛争解決時に第三者に よる検証が可能な証拠を提供 専門知識 専任スタッフ 身元確認とトレーニングを受けたセキュリティプロフェッショナルが、セキュリティと PKI に専念 最先端のスキル 教育や継続的なスキル更新によって、最新の技術知識を維持 対応範囲 グローバルコミュニティの実現 市販のウェブ/メールクライアントすべてにルートが事前にインストールされているため、PKI 構造 に参加可能 Managed PKI CA は、確立済みの STN やプライベートネットワークで相互認証が可能。プライベー 相互認証 9 トな Netscape®または Microsoft®認証サーバの相互認証も可能。相互認証には、業務運用の確立の サポートなどあらゆる段階が含まれる ビジネスアプリケーションの安全性を確保する マネージドPKIサービスとは? 総括 インターネットセキュリティの役割が進化し、ゲートキーパ機能とネットワーク促進のための機能が求められているなかで、情報資産 の保護は複雑化し、コストも増加しています。このような動的な環境でアプリケーションとネットワークのセキュリティを実現する基 盤が、PKIです。PKIの導入を成功させるには、最先端の技術、細やかな認証業務、高度なトレーニングを受けた運用スタッフが必須で あるため、自社でPKIを構築および導入する場合は膨大な時間と費用を投じる必要があります。また、PKIとセキュリティに専念するサ ービスプロバイダと同レベルのセキュリティを実現するのは容易ではありません。 Symantec Managed PKI Serviceは、企業のPKIの構築、導入、保守にかかる負担とリスクを軽減し、企業がセキュリティ上重要な電 子証明書の発行、一時停止、失効を制御できるクラウド型のソリューションです。業界をリードするシマンテックの技術と専門知識、 包括的な認証業務運用規程を活用することで、企業はコストを削減し、導入時間を短縮し、セキュリティを強化するのみならず、シマ ンテックのブランド力でパートナ、顧客、サプライヤとの関係を強化することが可能です。 10 ビジネスアプリケーションの安全性を確保する マネージドPKIサービスとは? 11 ビジネスアプリケーションの安全性を確保する マネージドPKIサービスとは? シマンテックについて シマンテックは、セキュリティ、ストレージ、システム管理に関するソリューショ ンのグローバルリーダーとして、あらゆる規模の企業と個人のお客様の情報セキュ リティ確保と管理を支援します。米国カリフォルニア州マウンテンビューに本社を 置 き 、 世 界 40 か 国 以 上 で 事 業 を 展 開 し て い ま す 。 詳 細 に つ い て は 、 www.symantec.comをご覧ください。 Copyright © 2014 Symantec Corporation All right reserved. シマンテック(Symantec)、ノートン(Norton)、およびチェッ クマークロゴ(the Checkmark Logo)は米国シマンテック·コー ポレーション(Symantec Corporation)またはその関連会社の米 国またはその他の国における登録商標、または、商標です。 12