新ホワイトペーパー: Certificate Authority Service による証明書管理のスケーリング

※この投稿は米国時間 2021 年 4 月 3 日に、Google Cloud blog に投稿されたものの抄訳です。

Google Cloud の Certificate Authority Service（CAS）の一般提供開始が近付いていることを受け、Google Cloud ではお客様にこのサービスをより深く理解していただけるようにしたいと考えています。CAS が Google Cloud のセキュリティ戦略全体とどのように関連してくるのか、どのようなユースケースで CAS が使えるのかといったご質問をこれまでお客様からいただいています。これらを含む、CAS に関するさまざまな質問に答えたホワイトペーパーが本日リリースされました。

Sidechain の Andrew Lance 氏、および Google Cloud の Anton Chuvakin と Anoosh Saboori が共同で執筆した「Google Certificate Authority Service による証明書管理のスケーリング」（Scaling certificate management with Google Certificate Authority Service）では、最新の認証局サービスである CAS と CAS の主なユースケースを取り上げています。

ここ数年で、デジタル世界では前例のない成長と相互接続性が見られています。多くの技術革新が起こり、必要な条件がすべて整ったことで、フライホイール効果とも呼べるような現象が巻き起こりました。クラウド コンピューティング人気の高まり、5G の登場、モノのインターネット（IoT）関連スマート デバイスの普及が同時に起こったことで、人々の生活と職場を相互に接続するデジタル プロダクトに計り知れない市場機会がもたらされています。コネクテッド デバイスとソフトウェア定義プロダクトに欠かせないのが、相互接続されたデバイスでお互いのアイデンティティを検証する機能です。

Google では、Certificate Authority Service（CAS）を新たに導入することで、この新たな時代にデジタル証明書を使うなかで組織が直面する、こうしたさまざまな課題に対処します。CAS はハイパースケーリング証明書管理用のクラウド対応型プラットフォームというだけではありません。クラウドネイティブ アプリケーションの開発手法にも則っており、API にも完全対応しています。

ここからは、ホワイトペーパーの中から、特に気に入っている箇所を抜粋してご紹介します。

• 「デジタル インフラストラクチャのハイパースケールの成長が、データセンターからクラウドにまで広がっただけでなく、洗練されたマルチクラウド戦略、そしてクラウドとオンプレミスのワークロードをシームレスに統合するハイブリッド戦略が採用されました。デジタル証明書はこれらすべてのシステムの整合性の基盤となっており、その規模は驚くほど巨大になっています。」

• このことは、デジタル証明書は IT 部門の「日の目を見ない仕事」ではなく、デジタル経済全体を支えているという事実を思い出させてくれます。 

• 「一般に認証局（CA）と呼ばれる従来の証明書管理システムでは、こうした新たなニーズに対応することができません。[...] 証明書のリクエストはたいてい手動で行われており、処理が完了するまでに少なくとも数日から数週間かかることがほとんどです。[...] デジタル証明書と PKI システムに関する新たなニーズをこうした従来の環境で満たせることはほとんどありません。」

• つまり、証明書に関連する従来のツールやプロセスでは、今のニーズに対応することはできないのです。 

• 「クラウド ファーストのアプリケーションやテクノロジー インフラストラクチャを開発する組織が増えるなか、認証局などのオンプレミス インフラストラクチャに固執するのは賢明とは言えません。」

• 「コンテナを使うことで、アプリケーション コンポーネントのデプロイが簡単かつスピーディになります。[...] 証明書を追加するとさまざまなことが複雑になります。証明書の更新は通常、アプリケーションの更新とは異なる頻度で発生します。また、従来の CA システムはまったく異なるチームが管理しているため、証明書の発行を行うには時間のかかるリクエストを手動で行う必要があります。一方、[Google] CAS では、自動化と標準化された API を使って、コンテナ化されたアプリケーション内でデベロッパーが安全に証明書を管理できるようになります。」

• コンテナは Google CAS が威力を発揮する環境のなかでも特に優れた例です。

• 「証明書ベースのアイデンティティとその他のセキュリティ要件を含む認証フレームワークがワイヤレス パワー コンソーシアムなどの標準化団体から現在求められているなか、多くの小規模ベンダーでは PKI と証明書を管理することの必要性に気付き始めています。小規模企業の多くは、自社の従来の PKI インフラストラクチャを管理できるだけのスキルセットやその他のリソースを持ち合わせていません。エンジニアリングを柱とする小規模組織でも、従来の CA より簡単に証明書を管理できるようにするのが CAS です。」

• こちらのブログでも過去にご紹介したとおり、Google CAS は IoT の分野でも威力を発揮します。

• 「多くの IT 組織でもネットワーク ベースのセキュリティのために「ゼロトラスト」モデルを構築し始めていますが、その基盤となるのがデジタル証明書に基づく信頼されたアイデンティティというコンセプトです。IT チームでは現在、アプリケーション、オペレーティング システム、スマートフォンやその他の BYOD デバイス、ワークステーション向けの信頼されたアイデンティティを確立しています。[...] IT チームがゼロトラスト モデルで取り組みをスケールできる、直感的なサービスが CAS には用意されています。」

「Google Certificate Authority Service による証明書管理のスケーリング」をぜひご覧ください。CAS へはこちらからご登録いただけます。

-ソリューション戦略担当責任者 Anton Chuvakin