CAS のご紹介: プライベート CA と証明書でアプリケーションを保護

※この投稿は米国時間 2020 年 8 月 4 日に、Google Cloud blog に投稿されたものの抄訳です。

デジタル証明書は、さまざまなネットワーク接続デバイスやサービスの ID と認証の基盤となります。最近では DevOps やデバイス管理（特に IoT デバイス）において公開鍵基盤（PKI）を利用することへの関心が高まっています。しかし、PKI の最も根本的な問題の一つとして、認証局（CA）のセットアップが難しく、セットアップを大規模かつ信頼できる形で行うことはさらに困難です。この課題に対処するため、Google Cloud の Certificate Authority Service（CAS）をベータ版で提供することを発表いたします。CAS は、プライベート CA の管理とデプロイを簡素化 / 自動化し、かつ最近のデベロッパーとアプリケーションのニーズに対応した、スケーラビリティと可用性の高いサービスです。

CAS の利点を説明する前に、証明書の使用に関連する課題をもう少し詳しく見ていきましょう。前述のとおり、プライベート証明書はネットワーク上のユーザー、マシン、サービスを認証する最も一般的な手法の一つです。デジタル証明書を使用することで、多くの操作がより安全に保護されます。たとえば、ユーザーが会社所有のウェブサイトに HTTPS で接続するとき、ノートパソコンから Wi-Fi アクセス ポイントに接続するとき、ユーザーがメール アカウントにログインするときなどです。デジタル証明書は通常、オンプレミスでホストされるプライベート認証局（CA）から発行されます。デジタル証明書の有効期限はかなり先の日付（長期）に設定される傾向があり、デバイス / アプリケーションに固有の証明書登録プロセスは頻繁には行われません。

プライベート証明書を使用する最近の例として、DevOps 環境では、コンテナ、マイクロサービス、VM、サービス アカウントを保護します。しかし、最近見られるようになったプライベート証明書のユースケースでは、従来とは要件が大幅に異なります。その結果、オンプレミス プライベート CA を導入している組織は、こうした新たな使用法をサポートするうえで既存のプライベート CA が制約となっていることにすぐに気づきます。

• この新たなユースケースの場合、頻繁に更新される短期の証明書が必要であり、これに伴い CA には高い可用性とスケーラビリティが求められます。既存のプライベート CA ソリューションでは不十分です。たとえば、さまざまな IoT デバイスを処理するには 1 年あたり 1 万ではなく 1,000 万の証明書を発行する必要があるかもしれません。
• 証明書登録プロセスは、最新型のアプリケーションや CI / CD ツールチェーンで必要な最新型の API をサポートしておらず、これが原因で製品化までの時間が長くなり、導入と収益化に遅れが生じます。
• クラウド プロバイダの組み込み CA との互換性がないので、お客様にとって証明書を一元的に管理、モニタリングする場所が失われます。

さらに、オンプレミス インフラ段階を跳び越えた、最初からクラウド ネイティブな組織、つまりプライベート CA をこれまでセットアップする必要がなかった組織も、プライベート証明書の必要性を感じ始めています。既存のオンプレミス プライベート CA はクラウド プラットフォームとの互換性がなく、クラウド ネイティブなビジネスやハイパースケーラーの規模に対応できません。このような組織に残された唯一の選択肢は、自社独自のプライベート CA を構築することです。

そして、プライベート CA のセットアップと運用に高い費用がかかること（インフラストラクチャ、ライセンス、運用の費用）、またプライベート CA の適切な管理に必要な高度なスキルセットが必要であることに気づきます。しかしこれらの要素は組織の中核業務に結びついておらず、市場投入にかかる時間が長くなるだけです。信頼できるプロバイダ（理想的にはクラウド プロバイダ）にこの作業を任せる方が簡単で、費用対効果も高くなることがよくあります。

Certificate Authority Service は、従来のニーズと新たなニーズの両方に対応するように設計されています。数か月かかっていた従来型のプライベート CA のデプロイに比べ、CAS ならプライベート CA を数分でセットアップできます。

また CAS では、PKI の専門知識を理解していなくても、シンプルで記述的な RESTful API を使って証明書の取得と管理を完全に自動化できます。RESTful API を使用すると、既存のツールや CI / CD チャネルを統合できます。また、API、gcloud コマンドライン、クラウド コンソールのうち最も便利な方法を使ってプライベート CA を管理、自動化、統合できます。

企業向けサービスである CAS を利用すれば、以下の操作を実行できます。

• FIPS 140-2 Level 3 検証済みであり南北アメリカ、欧州、アジア太平洋のさまざまなリージョンで利用可能なクラウド HSM にプライベート CA 鍵を保管します。ルート CA のリージョンに関係なく下位 CA のリージョンを選択できます。
• Cloud Audit Logs でログを取得し、誰が何をいつどこで行ったかを把握できます。
• Cloud IAM と VPC Service Controls を使用して、きめ細かなアクセス制御と仮想セキュリティ境界を定義できます。
  
• このサービスは（DevOps モードで）インスタンスあたり秒間クエリ数（QPS）25 まで処理でき、数百万の証明書を発行可能ですから、自信を持ってスケールできます。またエンタープライズクラスの SLA が提供されます（一般提供時）。
  
• CA 秘密鍵が FIPS 140-2 Level 3 検証済み HSM により保護されており、安心できます。
  
• 独自のルートの利用: これにより、オンプレミスで、あるいは Google Cloud 外部の任意の場所で実行されている既存のルートに CA を連結できます。
  

証明書管理エコシステムとの統合

企業レベルで新しいサービスをデプロイする際の最も重要な要件は、互換性です。これとほぼ同じくらい重要な要件は、使いやすさです。使いにくいセキュリティ手段は、結局使用されなくなるでしょう。Google は証明書ライフサイクル管理（CLM）分野の主要パートナーと協力して、これらのパートナーのソリューションと CAS を確実に統合しています。

• Venafi は、全世界 400 以上の顧客を持ち、20 年以上のサイバーセキュリティ研究開発の経験があるマシン ID 保護分野の大手ベンダーです。同社の役割は、Gartner’s 2020 Hype Cycle for IAM や Forester の Zero Trust Solution Providers の 2020 Now Tech レポートなどの業界調査でもこれまで言及されています。このソリューションと CAS の統合について、詳しくは同社のブログをご覧ください。
• AppViewX CERT+ は、マルチクラウド環境で鍵と証明書のライフサイクルを自動化できる証明書管理スイートです。鍵を保護してコンプライアンスを実現し、PKI の役割ベース セルフサービスを可能にして、ハイパー スケーラビリティと暗号のアジリティを備えています。このソリューションと CAS の統合について、詳しくは同社のブログをご覧ください。
  

CAS を使ってみる

CAS を使用すれば、プライベート CA の運用に必要な時間がかかる作業（ハードウェア プロビジョニング、インフラ セキュリティ、ソフトウェア デプロイメント、高可用性の構成、障害復旧、バックアップなど）をクラウドに任せることができます。これにより総所有コスト（TCO）が減少し、プロダクトの市場投入にかかる時間が短くなります。従量課金制のシンプルなライセンスに基づく CAS では、設備投資（CapEx）は必要ありません。料金は実際にご使用いただいた分だけ発生します。

ベータ版の利用期間中は、CAS を無料でご利用いただけます。このフォームからご登録ください。料金はプロダクトの一般提供開始後に適用されます。詳しくは、プロダクトの動画とCAS ホームページをご覧ください。ご不明な点がございましたら、cas-support@google.com までお問い合わせください。 

-Google Cloud プロダクト マネージャー Anoosh Saboori

-ソリューション戦略担当責任者 Anton Chuvakin