多くの大規模な企業では、毎日何千ものユーザーデバイスが社内ネットワークにアクセスしており、そのうち何百ものデバイスが日常的に特権アクセスを行っています。このような状況でデバイス認証の安全性を高めるために、SSL(Secure Socket Layer)証明書やTLS(Transport Layer Security)証明書が作成・配布されています。IT管理者は、証明書によってデバイスの検証・確認や、双方向通信の暗号化を行っています。
これに伴い、数百もの証明書を追跡・管理する業務(使用状況の定常監視、有効期限の管理、脆弱性の検知・修正など)が情報システム部門で毎日発生します。証明書は個別に作成されることが多いため、証明書の展開パターンや有効期限の適切な把握が難しいです。さらに、証明書の急増・乱立を防ぐために、証明書を申請・承認できる従業員を制限し、厳格なアクセス制御を実施することが必須になります。
証明書のライフサイクル管理に関わる業務全般を手動で実施すると、煩雑になりミスが起こりやすいです。そのため、企業にとっての理想的な方策は、証明書管理ソリューションの導入です。全体像の可視化、申請・承認プロセスの効率化、管理プロセス全体の自動化、各証明書のライフサイクル全体の追跡を、単一のインターフェイスで一元的に実現できるソリューションが最適解と言えます。
PAM360には証明書管理モジュールが組み込まれており、SSL/TLS証明書ライフサイクル管理における全体像の可視化や厳重な制御を可能にします。情報システム担当者は、このモジュールを使用することで、暗号鍵、証明書、特権アカウントに関わる業務(検出、統合、作成、展開、更新、管理)を一気通貫で実施できます。結果として、社内ネットワークの特権アクセスに対する徹底した管理と予防的な制御が実現されます。
SSL/TLS証明書ライフサイクル管理
異種環境・異種エンドポイントに展開されているSSL/TLS証明書を検出
PAM360はSSL/TLS検出ツールを搭載しており、組織内で配置しているあらゆる種類のX.509証明書をネットワークを介して検出し、管理対象として登録します。自己署名証明書、Active Directoryユーザー証明書、メールサーバーの証明書、ロードバランサーの証明書、AWS(Amazon Web Services)でホストされている証明書などが検出可能です。
さらに、証明書の一括検出も可能で、適宜自動で実行することも、タスクを予約して定期的に自動実行することもできます。つまり、新しい証明書が作成された際に、PAM360の証明書リポジトリに自動的に追加・登録するように設定できます。この機能により、情報システム担当者はSSL/TLS環境全体の状態を常に把握でき、ネットワーク内の不正または無効な証明書を迅速に検知・対処できます。
システムやアプリケーションへの証明書展開を一元管理
多くの企業が、システムやアプリケーションの証明書を複数の認証局(CA)から取得しています。この場合、担当者は、各認証局が提供する異なる管理画面を使い分ける必要があり、証明書の一貫した管理が難しくなります。
PAM360の証明書インベントリは、発行元の認証局を問わず、あらゆる種類の証明書を格納できます。この機能により、複数のインターフェイスを切り替える必要がなくなり、展開プロセスの一元管理を実現します。また、他の部署やチームに依頼せずとも、PAM360で管理者自らが社内用の自己署名証明書を生成・展開することも可能です。
有効期限を通知する自動アラートにより、証明書の更新を適切に追跡・管理
システムやアプリケーションに配置されるSSL/TLS証明書には、有効期限が設定されており、更新作業が必要です。予期せず有効期限が過ぎてしまった場合、サービスが止まり、業務の停滞やブランド毀損を招く可能性があります。最悪の場合、セキュリティ侵害の発端になる恐れがあります。
組織内の証明書の有効期限を網羅的に監視する作業は、IT管理者にとって多大な負担となりますが、PAM360がこの課題を解決します。PAM360は、証明書の有効期限を追跡できるように、メール、SNMPトラップ、Syslogメッセージで自動アラートを送信します。さらに、証明書の更新、新たに取得した証明書の展開、使用状況の追跡を、単一の統合インターフェイスで実行できます。
外部認証局にも対応し、統合インターフェイスで証明書ライフサイクルを追跡
多くの情報システム部門は、特に証明書のプロビジョニングに複数の外部認証局が関与している場合、証明書の使用状況や有効期限を適切に管理できていません。さらに、認証局の管理ポータルでは、その認証局が発行する証明書に限ってライフサイクル自動化機能を提供しており、他社の証明書には対応していません。
PAM360の証明書管理モジュールは、さまざまな認証局で発行された外部の証明書に対応しており、統合的なライフサイクル管理を実現します。各プロセス(取得、統合、展開、更新、追跡)が緊密に連動しており、効率的かつシームレスな証明書管理が可能になります。
Microsoft環境の証明書を効率的に管理
一般的な運用方法では、情報システム部門がMicrosoft認証局などの社内認証局を設置し、社内で生成された証明書をネットワーク内のさまざまなノードに展開します。この方法で、社内のアプリケーションやサーバーのセキュアな通信を確保しています。そして、社内で発行された証明書は、接続が中断されないように、常に監視・管理する必要があります。
社内証明書の手動管理は、特に大規模なIT環境の場合は、IT管理者にとって難題となります。そこでPAM360は、社内証明書の管理に特化したワークフローを提供しています。この機能により、手動操作が不要になり、Microsoft証明書ストアに格納されている証明書とMicrosoft認証局で発行された証明書の一元管理、そして管理プロセスの自動化や効率化を実現できます。