|
|
- 《 セキュリティ管理編 》
ユーザー独自の電子証明書の運用管理。
最近では多くの企業がユーザー独自の電子証明書を作成して、
企業内向けのWebサイトをSSLで運用しています。
この場合は社内のWebサーバー上にCAを構築します。
ユーザー独自の電子証明書の発行は、運用の手間暇がかかるものの
費用を安価に抑えられるメリットがあります。
ユーザー独自の電子証明書を配布して社員専用のSSLサイト運用は
とても便利でいろいろな応用ができます。
しかし
この電子証明書の運用が適切に行われている企業は案外少ないのです。
・有効期限の設定
有効期限を10年後と設定していたり、有効期限切れ状態で
使用していたりします。Webページは有効チェックを行って
いない。
・CRL
失効者リスト管理はまったく行っていない。
・退職社のPC管理
退職者が使っていたPCから電子証明書の削除確認は行われていない。
運用する人がいないというのが、大きな理由になっています。
また電子証明書を正しく理解している人が少ないことも原因です。
電子証明書は便利でもありますが、悪用されかねない危険性もはらんでいます。
ユーザーIDとパスワード管理を行っているから大丈夫という意見もありますが、
果たして大丈夫でしょうか。
・社内用フィッシングサイトが出来ても見破れない。
・重要書類の閲覧や取得において正当性が立証できない。
・新人などが使用している場合は、なにも知らないで使用している。
・悪意をもった利用者が個人PCにコピーしているかも知れません。
電子証明書は、社員証よりも厳重に管理すべきです。
・有効期限は、1年として更新処理を正しく行う。
・CRLの失効者リストを正しく管理する。
・退職者のPCから電子証明書の削除確認を義務付ける。
・新規導入や更新や誤って削除したなど申請手順を確立する。
・アクセスログによる監視チェックを厳しくする。
重要書類の閲覧や申請書類の提出をWebサイト上で行うのであれば、
電子証明書の運用も正しく行わなければなりません。
単に暗号化機能のみを使用したいために電子証明書を導入している企業が
多いではないかを考えますが、
ずさんな運用は、機能を発展させたときには障害となります。
電子証明書の正しい運用に努めるようにしましょう。
|
