2025 年5 月 29 日、デジサート・ジャパン合同会社は都内で「2025 Trust Summit Roadshow Tokyo」を開催した。基調講演に登壇した DigiCert,Inc. CEO、Amit Sinha 博士(写真)は、PKI を利用して実現されるデジタルトラストの世界が「大規模なルネッサンスを経験している」と宣言し、間近に迫る誰も抗えない現実を突きつけた。
● 8 分の 1、TLS/SSLサーバ証明書の最大有効期間短縮
デジタルトラストの根幹をなす PKI(公開鍵基盤)、その信頼をインターネットの利用において一番馴染みの深いTLS/SSLサーバ証明書が、今や企業のサービスを停止させかねない最大の脅威ともなっている。
Sinha 博士は、Google Chromecast や ServiceNow、Microsoft Azure など、証明書の失効が原因でサービス停止に陥った最近の事例を次々と挙げた。
この脅威をさらに加速させるのが証明書の最大有効期間の短縮だ。Sinha 博士は、CA/Browser Forum の決定により、現在 398 日のパブリックTLS/SSLサーバ証明書の最大有効期間が 2026 年 3 月から段階的に短縮され、最終的に 2029 年には 47 日になる事実を示した。これは、現在の実に「 8 分の 1 以下の短縮」である。
「10 年間有効のパスポートですら、家族の誰かが空港で期限切れに気づくことがあります。数万枚もある証明書が、いまと比べて 8 倍の速さで失効し始めたら、いったい何が起こるでしょう?(Sinha 博士)」
答えは明白で、手動による更新作業は完全に破綻する可能性が高い。この変革を乗り切る唯一の道は完全自動化以外ない、と Sinha 博士は断言した。
● 爆発するマシンアイデンティティと規制の嵐
問題はこれだけではない。企業が管理すべき「マシンアイデンティティ」は、IoT端末から組織のシステム、ネットワーク、クラウドサービスにアクセスをするすべての端末を認証する必要があるため、人間に紐付くアイデンティティの数十倍から数百倍に達すると予想され、証明書の枚数も増大する。この増加と歩を同じくして、「EU NIS2 指令」「米 FDA の医療機器に関する新たな指令」「PCI DSS v4.0」「EU サイバーレジリエンス法案」「金融セクター向け DORA(デジタル・オペレーショナル・レジリエンス法)」など、世界中で新たな規制が生まれている。そしてこれらの規制はいずれも、強力な認証と暗号化、そして厳格な証明書ライフサイクル管理を要求する。
● AI と量子コンピュータが突きつける新たなトラストの定義
講演はさらに、AI と量子コンピュータという、デジタルトラストのあり方を再定義するふたつの技術に及んだ。
Sinha 博士は「今やあなたが見るコンテンツはすべて偽物である可能性があると仮定した方がいい」と語り、AI によって生成された本物とまったく見分けがつかないディープフェイク画像や動画を悪用した保険金詐欺などが、すでに行われていることに言及した。
博士によれば、信頼すべきはコンテンツそのものではなく、それが「どこから来たか」という来歴、すなわちデジタル署名だという。
それに加えて、ソフトウェアサプライチェーンに悪意のある AI モデルが混入するリスクや、自律的に動作する AI エージェントの認証と認可、そして暴走を止めるための「キルスイッチ」の必要性など、AI 時代におけるデジタルトラストの課題を列挙した。
一方、量子コンピュータはすべての暗号基盤を根底から破壊する脅威ともなりうる。Sinha 博士は「その日は人々が考えているよりも早いだろう」と警告した。ある日、世界中で通信や保管データの保護を担っている暗号が破られる日( Q-Day )が量子コンピュータの急速な性能向上により来るというのだ。
多くの人が「 Q-Day が来てから耐量子コンピュータ暗号(PQC)に移行すればよい」と誤解しているが、それは致命的な間違いであるという。なぜなら「 Harvest Now, Decrypt Later(今データを収集して、将来(量子コンピュータで)解読する)攻撃を考えれば、機密性の高いデータを扱う組織は「今すぐ」に PQC への移行準備を始めなければならないからだ。
興味深いことに、大手調査会社が Q-Day の目安とする 2029 年という年は、証明書の有効期間が短縮される年と奇しくも一致する。証明書管理の完全自動化が求められるタイミングと PQC対応 は同じ「2029 年問題」なのだ。
● AI が変革する証明書ライフサイクル管理
続いて登壇した DigiCert チーフ・プロダクト・オフィサーである Deepika Chauhan 氏は、ときに脅威ともなる AI を活用した同社プロダクトについて解説した。
「DigiCert Trust Lifecycle Manager(TLM)」は、AI を活用して、証明書管理の複雑さを、管理プロセスの各段階で削減あるいは自動化して解消する。
・発見(Discovery)
TLM の AI エージェントは既存の証明書管理アカウントから証明書をインベントリ化し、スマートタグを適用する。これによって、たとえば 30 日以内に期限切れとなる証明書などの詳細情報が管理者に提供される。AI チャットボットに質問を投げて証明書に関する情報を得ることもできる。
・所有者割り当て(Assign Owners)
TLM の AI エージェントが AD 環境を分析し、適切な所有者の提案を行うことで割り当て作業が効率化される。
・通知(Notifications)
AI が期限切れ間近の証明書について Slack、メールなど社内連携を行うテンプレートを自動生成して通知を行う。
・自動化(Automation)
AI が期限切れ間近の証明書を持つホストを特定し、証明書更新だけでなく、サーバーやロードバランサーなどのエンドマシンへの実装までを自動化し、手作業によるミスや遅延を排除する。
これらの AI 活用機能によって TLM は 、数千からときに数万、数十万に及ぶ証明書の管理を迅速かつ安全に行うことを可能にする。
●コンテンツとソフトウェアの信頼性確保
Sinha 博士が「コンテンツのゼロトラスト」について語った通り、AI はコンテンツの信頼性に大きな影響を及ぼす。DigiCert は、コンテンツの真正性に関わる標準化団体 C2PA(Coalition for Content Provenance and Authenticity)に参加し、PKI の署名技術をメディアコンテンツにも適用することで、コンテンツの透明性を確保する試みを行っている。また、画像の出所、編集履歴、AI 生成の有無、署名などをメタデータとして可視化し、ユーザーが簡単に確認できるようにするブラウザプラグインの開発に着手しているという。
「Content Trust」と題された午後のセッションに登壇したデジサート・ジャパン合同会社 林 正人 氏は、コンテンツの真正性を外部から確認できるようにする「C2PA」が Google や YouTube によって利用がはじまっていることを紹介し、日本人のメジャーリーガーが起用されたソフトドリンクの広告における活用事例なども示した。
AI がコードを生成する時代を迎え、リモート環境での開発の増加からソフトウェアサプライチェーンの管理と監視も困難になっている。「DigiCert Software Trust Manager」は、オンプレミスの開発だけでなくGitHub 等のプラットフォームと連携し、ソフトウェア開発工程を通じてコードサイニング署名・コミット署名を安全に行うだけでなく、SBOMの生成と署名、管理との統合も行い、リリースの監視と管理、セキュリティ修復の手段を提供する。
● 量子コンピュータの 2029 年問題は目前
Chauhan 氏によれば、量子コンピュータの登場に関して約 3 年前に実施したアンケートでは認知も理解も低かった PQC(耐量子コンピュータ暗号)だが、近年は一歩進んで「どう始めればいいか」と姿勢へ明確に変わってきたという。
PQC への移行を加速させる要因は複数存在する。ひとつは NIST(National Institute of Standards and Technology:米国国立標準技術研究所)による PQC アルゴリズムの標準化だ。2024 年 8 月に最初の PQC アルゴリズムが3つ標準化されたことで、多くの企業が行動を開始している。標準化後 NSA(National Security Agency:アメリカ国家安全保障局)は、古典暗号( RSA や ECC )は 2029 年までに安全でなくなる、と警告した。
多くの政府機関は古典暗号の廃止に関する明確なタイムラインを設定しており、たとえば FDA(Food and Drug Administration:アメリカ食品医薬品局)の承認が必要な医療機器は PQC 対応でなければ今後承認が得られなくなる可能性がある。
Chauhan 氏は、PQC への移行が一朝一夕で成し遂げられるものではないとしたうえで、PKI 管理プラットフォーム「DigiCert One」が、PQC 実装の各段階を強力に支援すると講演を結んだ。
●パブリック/ プライベート PKI 運用の推奨手順
休憩をはさんで午後の部最初に行われた、DigiCert チーフ・マーケティング・オフィサー Atri Chatterjee 氏と製品担当 シニア・バイス・プレジデント Brian Trzupek 氏の二人による講演では、パブリック PKI と組織内で運用されるプライベート PKI の両方における運用の「ゴールデンパス(推奨手順)」に焦点をあて、以下の議論が行われた。
・証明書の在庫管理
複数のパブリックおよびプライベート認証局から発行された証明書を集約・可視化することで、分散環境やクラウド、オンプレミスにまたがる証明書の管理と運用を可能にする。DigiCert では ACME(Automatic Certificate Management Environment:自動証明書管理環境)、SCEPなどのプロトコルを利用した証明書自動化と多様なIAM、脆弱性検知システムとの統合による証明書管理が可能で組織ごとに多様なITインフラに対応しつつ組織全体のインベントリを構築できる。
・ポリシーとガバナンス
環境ごとの運用ルールを一元管理することで、弱い暗号アルゴリズムの排除や量子コンピュータ時代への対応、組織に適した証明書利用が実現される。自動化ツールとの連携により、ポリシー遵守や監査も効率化され、Slack、ServiceNow などを使った通知・変更管理・エスカレーションが可能となる。
・自動化と統合
大規模環境では証明書数が膨大になるため、手動による管理は運用ミスのリスクが高まる。講演では、Microsoft CAや、ACMEとの直接連携や、コード化された堅牢な自動化アプローチが紹介され、ACME や SCEP(Simple Certificate Enrollment Protocol:証明書発行管理自動化プロトコル)など複数プロトコル対応等によって迅速な証明書運用と復旧が可能になることが強調された。
さらに、医療機器メーカー、大手ホスピタリティ企業等における、具体的な解決事例も紹介された。中には 7 人のチームで数十万枚の証明書を管理しているケースも存在し、DigiCert は現在、これらベストプラクティスの経済価値を定量化するため、Forrester Research 社と共同で分析を実施しており、レポートが間もなく公開される予定だという。
● CA/B Forum 議長登壇
DigiCert デジタル・トラスト・スペシャリスト 兼 シニア・ディレクターである Dean Coclin 氏は、SSL/TLSサーバ 証明書などパブリックで利用される公開鍵基盤(PKI)に関する仕様策定を行う CA/B Forum(CAブラウザーフォーラム)の議長でもある。
同氏も証明書ライフサイクルの短縮化と自動化についてコメントしたが、「スプレッドシートで証明書更新の管理はやがて無理になる」という言葉がとりわけ印象的だった。
プログラムの発行元と改ざんされていないことを保証するコードサイニング
証明書は、ソフトウェアに保存していた秘密鍵がマルウェアによって窃盗されるリスクが問題視され、CA/B Forum の決議によりハードウェアセキュリティデバイス上での管理が義務付けられた過去を紹介した上で今後コードサイニング証明書の有効期間が現在の 3 年から、近い将来短縮される見込みであることを共有した。なお、この短縮はコードサイニング署名を行う証明書の有効期間に対してのみ影響し、ソフトウェアやコードの有効期間を定めるものではない。
NIST が公開した 3 つのPQC の標準の実装に関しては、IETF 主導のハッカソンなどを通じて、多様なメーカーのハードウェアと PQC アルゴリズムの相互運用性を検証する取り組みが行われているという。Coclin 氏は、将来暗号の危殆化に備え、従来の暗号に代わる新たな暗号実装の必要性を訴えた。
また、ANSI(米国規格協会)の下で金融業界に関わる標準化を行うX9 が策定した、PKI に関連する標準「 X9 PKI 」についても言及された。X9 PKI は DigiCert が独占的プロバイダーを務め、WebTrust による標準監査を受けることで提供されるという。金融業界だけですでに 30 以上のユースケースが存在するといい、パブリックPKIやブラウザのルートプログラムの影響を受けないPKIを提供すると説明する。X9 PKI は、金融機関がそれぞれ作成したプライベートルートをクロスルートすることで、異なる金融機関間での信頼を確立できるという、パブリック PKI が担ってきた利点を持つ。
Coclin 氏は「 47 日への有効期限短縮はもうそこまで来ている 自動化をすぐに始めよう」というメッセージで講演を終えた。
--
証明書の完全自動化更新と管理、PQC への 移行、コンテンツとソフトウェアの信頼性強化 ― これらは決して技術的な「壁」ではなく、取り組めば確実に前進できる「目標」でもある。DigiCert が示したビジョンは、組織がこの変化を恐れることなく乗り越えられる具体的な道筋を照らしている。
先手を打って行動すれば、2029 年は新たなデジタルトラストを実現させる年になるだろうし、信頼を起点にしたビジネスの優位性を獲得するチャンスともなることは間違いない。デジタルトラストのルネッサンスはすでに始まっている。
![[Black Hat USA 2019] 量子コンピュータによる暗号危殆化 ~ 耐量子計算機暗号 ( PQC:Post Quantum Cryptograph ) 証明書とは? 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/28274.jpg)
