CA局に外部から不正アクセス
CRLだけを外部に公開
ユーザー企業にとって,悩ましいのがCA局の運用。導入が容易になっても,運用方法を誤るとセキュリティ・ホールを作る原因にもなり得る。CA局は,外部に対しできる限り公開しないのが望ましい。
電子部品メーカーのB社は,関連会社や取引先との接続にインターネットVPNを導入した。商品の受発注データをやり取りするためだ。そこでB社は自社でCA局を導入し,関連会社などの拠点に置くVPN装置にサーバー証明書を発行することで,接続する拠点が正しいかを認証することにした。
CRLだけは本社で一元管理
情報システム部の運用担当者が検討した結果,VPN装置に組み込むサーバー証明書は,オフラインで発行することにした。担当者が各拠点に足を運びVPN装置を設定する必要があるが,安全性は高い。
ただし,各拠点に配布した証明書の有効性はインターネットを介し,CRLを参照して確認するようにした。B社は,取り引き期間が短い企業ともVPN接続を導入する方針を持っていた。そこで,「本社のCRLを書き換えるだけで,ある拠点の接続許可を取り消せる」というメリットを評価したのだ。
こうした検討の結果,B社はCA局をファイアウォールで設けたDMZに置き,外部に公開することにした。
|
|
図3 B社はインターネット上に公開していたCA局のうち,CRLだけを分離 各拠点に配布したディジタル証明書の有効性を確認するためだけに,CA局をファイアウォールのDMZ(非武装セグメント)に置いていた。しかし外部からのアクセスにさらされるため,CA局を非公開に変更。CA局のうちCRLだけを,DMZ上のサーバーにコピーして公開した。これで重要なユーザー情報が外部からの攻撃にさらされることはなくなる。 |
外部からCA局に不正アクセス
しかし運用開始から半年後,担当者がCA局のログを調べると不正アクセスを試みた痕跡が見つかった。幸いCA局からディジタル証明書が盗まれたり,データが漏えいした様子はない。ただし,CA局にはCRLのほか,証明書やユーザー情報などの秘匿性を求められる情報が格納されている。データが不正に取得されてしまった場合は,甚大な損害を被る。また,DoS攻撃などを受ければ,CA局が停止する危険性もある。
CRLをDMZ上のサーバーにコピー
不正アクセスの発見を受けて,B社はCA局の運用方法を改めることにした(図3[拡大表示])。CA局の機能のうち,外部に公開する必要があるのは,CRLだけである。そこでCA局はファイアウォールの内側に設置し,外部からは一切アクセスできないように設定した。その上で,DMZ上にある別のサーバーに対して,CA局のCRLのコピーを置く。これでCA局の機能のうち,外部に公開されるのはCRLだけになる。これでB社は,運用の手間を増やすことなく,CA局への不正アクセスを防ぐことができた。
