はじめに
しばらく、blogはお休みしておりましたが、年末年始とお盆の休暇中くらいは怠けず投稿したいと思います。
今回はRyan Hurst(@rmhrisk)さんという高名なセキュリティの専門家の方のブログポストから興味深く読ませていただいた記事に便乗をご紹介したいと思います。今年の3月頃に投稿された記事ですが、今後10年でPKIがどのように変化するのかについて書かれています。PKIとはPublic Key Infrastructure=公開鍵基盤のことであり、日頃インターネットにアクセスする皆さんが毎日お世話になっている認証インフラのことを指します。今回PKIについて特に説明はしませんが、ご存じない方はググれば大量に出てくるので調べてみてください。
そして、引用させていただいた記事はこちらです。
The next decade of Public Key Infrastructure…
Ryan Hurstさんについて
Ryan Hurstさんはソフトウェアエンジニア、コンサルタント、セキュリティスペシャリストであり、特に認証、認可などのコンピュータセキュリティに関心をお持ちの方で、MicrosoftやGlobalsignなどを経て現在はGoogleでご活躍しながらLet’s Encryptのアドバイザーもなされている最強エンジニアの方です。私のような雑魚エンジニアは足元にも及ばないような尊い方ですが、セキュリティや認証について大変示唆に富む情報を発信されており、勉強させていただいています。
PKIに対する個人的な関心
私はもともと組込システムの暗号関連のお仕事を中心にPKIにも触れる機会があり、TLSを中心に多少かじってはいたのですが、PKIは噛めば噛むほど味の出るスルメのような世界で、知れば知るほど、新しい視点や引き出しが現れる経験を通して、その奥深さや今後の可能性についてとても興味を持つようになりました。
暗号は要素技術として大変興味深い分野であり、今後もさらなるイノベーションが展望されています。とりわけPKIはその難解な公開鍵暗号技術を実用的な標準技術に昇華し、日常に欠かせない社会インフラとして世界中に普及させることに成功しました。これは地味ですが実はもの凄い革命的なことだったのだと思います。PKIは生まれてから30年近い年月が経っており、すっかり空気のような存在になっていますが、その普及には数多くの困難が立ちはだかり、小さな改善を繰り返しながら乗り越えてきた歴史があります。今後のデジタル社会の将来を占う上で、PKIの進化こそがデジタル化促進の一丁目一番地というのが、私の信念であり、個人的にPKIに注目している理由です。
以下は記事の引用・私なりの要約・解説を交えます。
近年のPKI動向
私達が日頃ブラウザでWebサイトにアクセスしたりする際にアドレスの横に鍵マークがついているのはそのサイトとの通信がTLSで暗号化されていることを意味していますが、同時にそのサイトのドメインや組織が権威ある第三者によって認証されていることも意味しています。これはデジタル証明書とそれを発行する認証局によって成立していますが、大雑把に言えばその社会的な仕組みそのものがPKIであると言えるでしょう。
これまでのWeb PKIにおける証明書は手動で申請して取得する運用がほとんどで、証明書の販売とマーケティングという主要産業を創出しましたが、一方でこれらの業界では証明書のコモディタイズや自動化を後押しするインセンティブが無かったとのこと。そこに風穴を開けたがのLet’s Encryptであるとしています。Let’s Ecnryptの登場によってACMEによる証明書発行の自動化とTLS普及が加速し、それまで年率2~3%程度の増加率だったTLS普及率が、年率10%近い勢いで加速し、今ではTLS普及率が90%以上に達しました。
The launch of Let’s Encrypt gave the Internet the first CA with a standards-based certificate enrollment protocol (ACME), this combined with the short-lived nature of the certificates they issued meant those that adopted it would have to use automation for their services to reliably offer TLS. This enabled products to make TLS work reliably and by default, a great example of this is the Caddy web server. This quickly took the TLS adoption rate to around 10% year over year and now we are hovering around 90%+ HTTPS on the internet.
また、マイクロサービスとコンテナの融合により生まれたメッシュ・ネットワーキングを筆頭に、ゼロトラスト、SASE(Secure Access Service Edge)などの新しいパラダイムもmTLS(mutual-TLS)の上に構築されていることに注目しています。mutual-TLSはTLSの「相互認証モード」と呼ばれるもので、サーバーの発行する証明書をクライアントが検証するだけでなく、クライアントも自らの証明書を取得し提示することで、サーバーがクライアントの真正性を検証します。クライアントが証明書を取得するには今までとは比較にならないほど大量の証明書発行が必要であり、そのライフサイクル管理は大きな課題となるはずです。
こういった流れを受けてWeb PKIの認証局も証明書のライフサイクル管理への投資を始めていますが、ベンダー間で標準化を推進して協力することをせず、独自ソリューションに投資しているCAは「過去に犯したのと同じ過ちを犯している」と言っています。
次に何が起こるのか
Ryanさんの予測を箇条書きにすると次の通りです。
- プライベートPKIとパブリックPKIで証明書のライフサイクル管理が統一されていく(メッシュ・ネットワーキングやゼロトラストエッジが推し進める←Cert ManagerやSmall Step Certificatesが一例)
- クラウドCAサービスにより多くのプライベートPKIが導入され、有効期限や可用性の問題は解決されていく
- ACMEプロトコルの拡張機能でプライベート用途での証明書発行プロセスの簡素化し、アイデンティティと鍵の保護の安全性が向上する(同時にSCEP、WSTE/XCEP、CMC、ESTなどのプロトコルは一般的でなくなる)
これによりアクセスコントロールやセキュリティセグメンテーションに関する考え方が一変し、誰が何にアクセスしているのかをコントロールする手段と可視性の両方を得ることができるようになるとのこです。
確かにゼロトラストの考え方を推し進めるとローカルネットワークとグローバルネットワークの境界で防御するという考え方から、個々のユーザー、端末をベースとしてローカル・グローバルを分け隔てなく「認証・認可」していく必要があるので、従来セグメントを分けて構築されていたPKIが融合してくのは自然な流れであろうと思います。
そして、この新しいパラダイムが実現する上で証明書発行プロセス、ライフサイクル管理の簡素化・自動化が鍵を握っていることも間違いないと思います。
今後10年で予想されるPKIの進化
このような大きな流れの中でWeb PKIはどのように変化していくのでしょうか。記事では今後10年でさまざまなユースケースで専用のPKI階層が生まれ、それぞれが各階層に移行すると予想しています。また、ヨーロッパのCAではEUTLが多く採用されるかも、とも言っています。EUTLってのは僕もあまり知りませんでしたがEuropean Union Trusted Lists=欧州連合信頼リストのことで、Adobeのサイトによれば「EU eIDAS 電子署名規則の最高レベルのコンプライアンスを実装するために特別に認定された 200 社以上のアクティブかつレガシーな信頼サービスプロバイダー(TSP)の公開リスト」だそうです。要するに信頼の起点となるルート証明書についてEUTLのような統一的な仕組みがあることは、証明書の配布やユーザーの管理の手間を削減する上で有利になる、ということだと理解しました。
特に重要だと思ったの次のパラグラフです。
To address this reality the Web PKI CAs will need to re-invent themselves into product companies focusing on solving business problems rather than selling certificates that can be used to solve business problems. This will mean, for example, directly offering identity verification services (not selling certificates that contain assertions of identity), providing complete solutions for document signing rather than certificates one can use to sign a document or turnkey solutions for certificate and key lifecycle management for enterprise wireless and other related use cases.
従来のWeb PKIの認証局ビジネスは「証明書を販売するのではなく、ビジネス上の問題を解決することにフォーカスした事業に生まれ変わる必要がある」と言っています。それは例えばアイデンティティ保証のサービス化や文書署名ソリューションの提供、証明書や鍵のライフサイクル管理のソリューションなどです。
つまり今現在、数多ある認証局もエンジニアリング会社としてソリューションプロバイダになっていかないと生き残れませんよ、と言っているわけです。なかなか厳しくも的を射た指摘です。
他にも証明書発行を担う認証局はクラウドプロバイダに移行したり、中小の認証局が買収されて大規模なプロバイダが活躍するようになるという予想もしています。業界再編ですね。
最後に技術的観点での予想についても記載されていたので箇条書きにしました。
- STIR/SHAKENなど新しいPKIエコシステムが登場し、より安価で効果的、簡単に展開できることが明らかになり、一般化する
- パブリックPKIとプライベートPKIのライフサイクル管理がACME上に統一される。証明書をベースにしたデバイス・アイデンティティを軸にしたデバイス管理プラットフォームが構築される。(ゼロトラストやゼロトラスト・エッジの構築が容易になる)
- デバイス・アイデンティティの概念が標準化され、クレデンシャルのライフサイクル管理のプロトコルが共通化されることで、鍵管理の安全性が改善される
所感
以上、ブログ記事の紹介でしたが、ここからは私の所感を述べたいと思います。
PKIの分野は長らく枯れた技術分野だと思われていたふしがありますが、記事で述べられているように、今後大激変が予想されているということは間違いないと思います。
逆に言えばPKI関連のビジネスの大変動の中で、新しいビジネスチャンスが生まれるということでもあります。従来認証局ビジネスというのは高度な社会的信頼性を獲得する必要があり、新規参入の難しい業界だと認識されていたように思います。しかし、ゼロトラストへの移行とPKIの階層化はPKIビジネスの多様化を促し、今後はエンジニアリングやソリューションの分野からの新規参入が活発化していくのではないかと理解しました。
私は認証局ビジネスに関わったことがないので、業界の動向や背後にある力関係など、あまり詳しくはないので、そんな単純ではないという指摘もあるのではないかと思います。ただ、暗号関連に身に覚えのあるソリューションプロバイダは持ち前のエンジニアリング力を発揮して、「次世代のPKI」分野に参入していく余地は十分にあるのではないでしょうか。特にDXを推進する上でアイデンティティの問題は必ず直面する壁であり、日頃から顧客の課題に接しているソリューションプロバイダこそ一日の長があるかもしれません。私自身はソリューションの側からPKIの次の10年に関わることを目標にしたいと思いました。
いずれにせよ、インターネットのアーキテクチャが大きく変動するという話はビジネスのことを脇に置くとしてもワクワクする話だと思います。個人的にはPKIの「階層化」に加えて「分散化」も広がるのではないかと予想しています。そうブロックチェーンです。一般的なユースケースでは認知度も低くまだまだ課題も多いですが、技術的に解決されていけば、確実に伸びる分野だと思っています。
トラストアーキテクチャの再構築は働き方の変化などの例を挙げるまでもなく、間違いなく社会の改革にも繋がると思っています。いろいろと「無理ゲー」感の漂う昨今の社会情勢ですが、技術の面から乗り越えていくことで開ける希望もあると思っています。
コメント