デジタル証明書は依然として予定外のダウンタイムとアプリケーションの停止を引き起こします

2020年2月15日 00:04

KeyfactorとPonemon Instituteによると、企業の51％が、デジタル証明書とキーの不正使用を検出して対応する能力が低いと主張しています。

KeyfactorのCSOであるChris Hickman氏は、次のように述べています。
「クラウド、モバイル、DevOps、IoTの継続的な採用により、企業内の接続性とデジタルIDの数は飛躍的に増加しました。

「これらのIDをビジネスに安全に接続したまま管理する複雑さは、重大な信頼ギャップを生み出しました。
多くの場合、信頼を構築するために設計されたキーと証明書が停止とセキュリティ違反を引き起こしています。」

デジタル証明書とキーは、エンタープライズユーザー、アプリケーション、およびデバイスのID全体の信頼性を保証します。
暗号化アルゴリズムは、これらのIDに関連付けられたデータを暗号化し、安全な通信と攻撃の保護を提供します。

回答者の3分の2は、組織が業界の規制とITポリシーに準拠するために暗号化の層を追加していると回答しています。
ただし、証明書の有効期間が短くなると、人員不足のITおよびセキュリティチームの管理作業負荷が倍になります。

追加の主要な調査結果

60％は、IoTデバイスを保護するために暗号化技術のレイヤーを追加していると答えていますが、46％はIoTデバイスのIDと暗号化をデバイスの寿命にわたって維持する能力が低いと認めています。

平均して、過去24か月間にフィッシング攻撃が5回発生し、今後24か月間にMITMまたはフィッシング攻撃の可能性が40％。
回答者の73％は、デジタル証明書が計画外のダウンタイムと停止を引き起こし続けていることを認めています。

平均して、ITセキュリティ予算の16％が毎年PKI展開に費やされていますが、回答者のわずか38％が組織にPKI展開専用のITセキュリティスタッフメンバーがいると答えています。

回答者の76％が、キーと証明書のセキュリティ保護に失敗すると、組織の運営に依存する信頼が損なわれると回答しています。
暗号化には卓越した中心性がありません。
PKIのコストの上昇と暗号化関連のインシデントの増加にもかかわらず、企業全体のベストプラクティスを推進できるのは企業の60％だけです。

「このレポートは、セキュリティアジェンダ内での暗号化の重要性を強化します」とHickman氏は述べています。

「多くの場合、 PKIはITチームとセキュリティチームのどちらが所有するか別れたままです。
接続性の増大により、露出されたままの状態が生じています。
明確なPKIの社内または外部委託プログラムの所有者と、重要事項であることのギャップを埋めるプロセスがなければ、停止や違反のリスクは高まり続けます。」

---
確かに証明書を更新する作業は負担は高くないけど、停止もあるし数が多いと面倒。誰がやる問題もあるなぁ。

最後までお読みいただきありがとうございます。分かりやすくマイナーなセキュリティ記事を翻訳しながら書きます。