マネージドPKI 〜外部IdP連携したカスタマイズ証明書発行と管理〜
マネージドPKIとは
マネージドPKIとは、証明書の発行・更新・失効を含むPKI全体を管理するためのサービスのことです。SecureW2が提供するマネージドPKIはクラウドでホストされたサービスなので、オフィスに物理的なPKIを構築する必要がありません。SecureW2のマネージドPKIには以下のような特徴があります。
- PKIの専門家にいつでも相談できるためセキュリティリスクを抑えることができる
- 証明書を発行したデバイス情報を保持し、世界中のMDMサービスと連携が可能
- 証明書発行するユーザー情報をOneLoginなどのIdPへのSAML認証返答で受け取り、自動的に証明書発行
- ひとつのルート認証局の配下に、業務ごとの中間認証局を作成して、証明書発行機関を多段階に構成することが可能
PKI(公開鍵暗号基盤)とは
PKI(Public Key Infrastructure:公開鍵暗号基盤)とは、公開鍵暗号方式という技術を利用して、暗号化や電子署名の機能を提供するセキュリティ基盤のことです。公開鍵暗号技術では、暗号化と復号に異なる鍵を使用します。片方の鍵で暗号化されたデータはもう一方の鍵でしか復号することができません。具体的には以下の機能を提供します。
- 認証:通信を行う相手が正当な人物であることを確認する
- 暗号化:通信内容を盗聴から保護する
- 電子署名:通信内容の改ざんやなりすましを防止する
マネージドPKIの機能
証明書を無制限に発行可能
一般的なPKIサービスの多くでは、クライアント証明書を発行するたびに料金が発生します。それに対し、SecureW2ではデバイス単位での料金体系なので、同じデバイスで利用する複数のクライアント証明書を発行しても費用増加はありません。1デバイス当たりの費用だけです。発行するクライアント証明書と同時に秘密鍵も発行して、中間認証局証明書・ルート認証局証明書のすべてをひとつにパックして、クライアントに届けられる形式にします。
業務に最適化した中間認証局を構築
SecureW2では、ひとつのルート認証局の配下に複数の認証局を構築できます。このため業務に最適化したクライアント証明書を発行する認証局を個別に構築することができます。例えば、無線LANの認証やIDaaSログインMFA認証などには多様なクライアント証明書が必要です。SecureW2では、それぞれの用途に応じて個別の認証局を複数構築することができます。
ルート認証局を無制限に構築可能
一般的なPKIサービスの多くでは、契約企業ごとにルート認証局はひとつを運用します。ひとつのルート認証局配下に中間認証局を構築します。ルート認証局の構築数に制限があるPKIサービスをご利用の場合、子会社や海外法人に向けて自社のルート認証局の配下に子会社認証局や海外法人認証局を構築してしまいがちです。しかし、自社ルート認証局配下に、子会社認証局や、海外法人認証局を構築することは、認証局構成として正常ではありません。このため、子会社認証局や、海外法人認証局の上位にはそれぞれに、子会社ルート認証局、海外法人ルート認証局を構築する必要が出てきます。SecureW2ではひとつの契約環境に、複数のルート認証局を構築することができます。もちろんルート認証局の構築は非常に簡単な操作で行えます。
IdP連携で自動でユーザー情報を取得
クライアント証明書の発行には、利用者ごとの情報を必要とします。このために、管理者が多くの利用者個別情報を手作業で入力するのは非常に手間です。SecureW2は、IdPと連携することでクライアント証明書の発行に必要となる利用者個別の情報をIdPから自動で取得し証明書に含めることができます。SecureW2は以下のディレクトリタイプを参照・連携することができます。
- SAML IdP (例:OneLogin, Okta, Azure AD)
- LDAP IdP
- Local IdP
