クレデンシャル管理システムとは何ですか?
組織が機密データに対するアクセスを制御するには、ユーザークレデンシャルが必要となります。すべてのシステムと情報を保護するためには、適切なクレデンシャル管理システムを導入することが不可欠です。顧客や社員に増減があった場合や役割に変更があった場合、あるいはビジネスのプロセスやポリシーが変わった場合などに、管理者はクレデンシャルの作成や取り消しを行う必要があります。また、プライバシーに関する規制や各種セキュリティ要件の厳格化により、各組織は、オンラインユーザーや内部特権ユーザーのIDを検証する能力を実証するように求められています。
クレデンシャル管理に関する課題
- 攻撃者がクレデンシャル管理システムを制御できるようになると、クレデンシャルを発行して内部特権ユーザーになりすます可能性があります。攻撃者がこのような特権を持つと、システムを侵害しても検出されなくなります。
- クレデンシャル管理プロセスが侵害されると、クレデンシャルを再発行する必要性が生じます。これは、コストと時間のかかるプロセスになる可能性があります。
- クレデンシャル検証のペースは大きく変化することがあります。場合によっては、クレデンシャル管理システムの性能特性を容易に上回り、ビジネスが継続できなくなるおそれがあります。
- ビジネスアプリケーションのオーナーは、セキュリティや信頼モデルに対する関心を高めており、クレデンシャル管理がコンプライアンスを阻害する弱点だと判明する可能性があります。
ハードウェアセキュリティモジュール(HSM)
クレデンシャル管理プラットフォームを純粋にソフトウェアベースのシステムに導入することは可能ですが、このアプローチは本質的に安全性が劣ります。認定HSMの暗号化境界の外側で処理されるトークン署名や暗号化鍵は、トークン署名や配布プロセスを悪用する攻撃に対して、きわめて脆弱です。貴重な暗号化データを保護し、FIPS認定のハードウェア保護を実現するうえで、HSMは、優れた実績を誇る監査可能な唯一の方法です。
企業は、HSMを活用することで、以下が可能になります。
- 慎重に設計した暗号化境界内でトークン署名鍵を保護し、職務分離を適用した強固なアクセス制御メカニズムを採用することで、承認されたエンティティだけが鍵を使用できるようにする
- 高度な鍵管理、ストレージ、冗長性機能を活用して可用性を確保する
- 厳格化する企業要件を満たす高度な性能を実現し、さまざまなデバイスや場所からリソースにアクセスできるようにする