日本IBMは2025年10月30日、SSL/TLSサーバー証明書の有効期間が2029年に47日まで短縮されることに対応する新ソリューションを発表した。「HashiCorp Vault」(以下、Vault)と「Ansible Automation Platform」を組み合わせることで、証明書のライフサイクル管理を自動化し、企業が抱える運用課題を解決する。
証明書有効期間短縮がもたらす運用負荷の増大
ブラウザーやサーバーなどのエコシステムの標準化や国際化を推進する業界団体「CA/Browser Forum」は、SSL/TLSサーバー証明書の有効期間を段階的に短縮することを決定している。これにともない、TLSの更新サイクルは現在の398日から、2026年3月15日以降は200日、2027年には100日、そして2029年には47日まで短縮される。
日本IBM テクノロジー事業本部 ソフトウェア・テクニカルセールス事業部の菱沼章太朗技術理事は「年に1回実施してきた作業が3倍のワークロードになり、今後さらに短くなることになる」と強調した。
証明書更新の自動化には5つの課題がある。第一に、各種証明書の有効期限が短縮されることで、もはや人間での対応が困難になり、自動での更新が必要となる。第二に、複数のCAベンダーから発行される証明書への対応が求められる。第三に、自動化を実施する際には、SSH秘密鍵といったシークレット情報を適切に管理しなければ、作成したスクリプトにリスクが高まる。第四に、メールで認証を実施している企業が多いが、自動化を考えると別の方式に変える必要がある。第五に、サーバー証明書の保管場所がExcelで管理されていたり、ファイルサーバーに保存されていたりする現状が、過去の障害の原因になっているため、この機会に整理する必要がある。
これらの課題に対し、IBMは証明書の発行から本番への適用、検証までを一気通貫で実施する自動化ソリューションを提案する。中核となるのは、Ansible Automation PlatformとVaultの組み合わせだ。
菱沼氏は「統合的な証明書の基盤というものを作成する必要がある」と述べ、まず統合証明書管理基盤を構築し、その後に各インターネットを使っているテナントへ順次対応を促す必要性を強調した。「2027年に100日に短縮化される最初の時期を対応期限とすると、すでに2年を切っているため、すぐに対応を検討する必要がある」と言う。
ソリューションでは、Vaultが証明書と秘密鍵を保管する金庫として安全に保管・管理を担い、Ansible Automation Platformがワークフロー・ツールとして大規模かつ多岐にわたるネットワーク機器への証明書の一貫した更新・配布を自動化する。「IBM Concert」は、Vaultに保管された証明書を鍵長やハッシュ・アルゴリズムのポリシーに基づいて一元的に可視化し、有効期限や更新状況をダッシュボードで把握できるようにする。さらに「IBM Instana Observability」で証明書管理を支える基盤全体の可用性を監視することで、Vaultの証明書発行機能やAnsible Automation Platformの自動化ワークフローの稼働状況をリアルタイムに可視化し、証明書更新プロセスの継続性を保証する。
IBMのソリューションの特徴は柔軟なIT自動化だ。単純に証明書を入れ替えるだけでなく、承認や業務閉塞といった様々な業務を実施した上での証明書の入れ替えが必要なため、そういった柔軟な処理を組み込むことが可能なソリューションになっている。エージェントを各種ネットワーク機器やサーバーに導入するのはセキュリティ的に避けたいという顧客も多いため、エージェントレスで実現する必要性がある。
HashiCorp Vaultによるシークレット管理
HashiCorp事業部のHead of SEである小原光弥氏は、シークレット管理を実現するソリューションであるVaultの役割について詳しく説明した。
シークレット管理には、クレジットカードなどのデータの暗号化と、狭義の認証情報(シークレット)管理の2つの機能がある。クラウド時代に保護すべき認証情報全般を指す。オンプレミスの世界ではユーザーのパスワードが主であったが、クラウドの時代では、クラウドリソースのアクセスキーやシークレットキー、アプリケーション間のAPIトークン、サーバー証明書、SSHの秘密鍵などがすべてシークレットに含まれる。
小原氏は「シークレットが今どこにあるかを確認することが一番難しい」と指摘し、HashiCorpが今年GA(一般提供)したVault Radarというソリューションを紹介した。Vault Radarは、顧客環境のGitやConfluenceのような環境に、どれだけのシークレットがどこにあるのかをスキャンし、リスト化するものだ。
クラウド時代では、シークレットが散在するという課題がある。実際、2023年のパブリック・コミットの中でシークレットが検出された数は1,280万件にのぼり、前年比28%増加している。
菱沼氏は今回のソリューションについて「来たるべき耐量子暗号の時代に向けてのクリプトアジリティの第一歩と位置づけている」と語った。
この記事は参考になりましたか?
- この記事の著者
-
京部康男 (編集部)(キョウベヤスオ)
ライター兼エディター。翔泳社EnterpriseZineには業務委託として関わる。翔泳社在籍時には各種イベントの立ち上げやメディア、書籍、イベントに関わってきた。現在はフリーランスとして、エンタープライズIT、行政情報IT関連、企業のWeb記事作成、企業出版支援などを行う。Mail : k...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
