ウェブサイトの正当性を担保するTLS(Transport Layer Security)サーバー証明書は、最長有効期間が現在の398日から段階的に短縮され、2029年3月15日以降は47日になる。証明書が失効すれば、セキュリティ上の問題や危険があると判断され、利用者やもちろんサイト運営側にも多大な影響が出る恐れがある。セキュリティの専門家は今から準備に着手すべきと警鐘を鳴らしている。
TLSサーバー証明書は、ウェブサイトが正規であることや、利用者とサーバー間の暗号化通信を担うなどウェブサイトのセキュリティを確保するために必須の存在だ。有効なTLSサーバー証明書を適用している正規サイトへのアクセスではほぼ支障がないが、有効期間が切れていたり、証明書の内容に不備があったりした場合は、ウェブブラウザーがユーザーにセキュリティの危険性を警告する。また、複数のウェブサイトやサービスの接続でも証明書の有効性が検証されるため、何らかの不備があればサービスやシステムの動作に障害などが発生する可能性もある。
TLSサーバー証明書の意義
証明書の有効期間短縮の理由
TLSサーバー証明書の有効期間を短縮する措置は、AppleやGoogle、Microsoftなどのウェブブラウザーの開発元、証明書を発行する認証局の運営ベンダーなどが参加する米非営利組織のCA/Browser Forumが2025年4月に決定した。
有効期間の短縮化は、まず2026年3月15日から最長200日、2027年3月15日から同100日、2029年3月15日から同47日になる。対象となるのは、企業や組織などが一般に公開しているウェブサイト(関連システムを含む)向けにパブリック認証局が発行するTLSサーバー証明書だ。企業や組織が内部向けウェブサイトなどに使用するプライベート認証局発行の証明書は対象外となる。
CA/Browser Forumが有効期間を短縮する目的は、現在および将来のセキュリティリスクに備えるためだという。
ITシステムの権限管理製品などを手掛けるCyberArk Software日本法人の染谷浩子氏によれば、例えば、サイバー攻撃でウェブサイトが侵害された場合、影響を受けたTLSサーバー証明書をすぐに失効させるなどの措置が必要だが、有効期間を短くしておくことで、万一サイト運営者の対応が遅れても影響の広がりを抑止できる。また、現在世界中で開発が進む量子コンピューターが実用化され、万一サイバー攻撃者らに悪用された場合、現在の暗号アルゴリズムが瞬時に突破されて通信が保護されなく恐れが指摘されている。
量子コンピューターの悪用対策には、耐量子暗号(PQC暗号)と呼ばれる新しいアルゴリズムの開発が進みつつあり、CA/Browser ForumはPQC暗号を速やかに世界へ普及させる目的も含め、TLSサーバー証明書の有効期間を短縮させることにしたわけだ。
TLSサーバー証明書の最長有効期間が段階的に短縮され、2029年3月15日から47日に。現在に比べて約8分の1に短くなる
TLSサーバー証明書を取り巻く課題
しかし染谷氏は、TLSサーバー証明書の有効期間短縮に対応する上でサイト運営側に多くの問題が存在すると指摘する。
大きな問題の1つが、TLSサーバー証明書の管理責任者の不在だ。染谷氏によれば、たとえ大企業でもIT部門が一括管理しているケースは少なく、企業情報サイトの管理は経営管理部門、投資家向けのIRサイトは財務部門、商品やサービスなどのサイトはマーケティング部門や営業部門というようにバラバラだ。海外向けサイトは海外の現地法人任せだったり、小規模な企業や組織では外部委託先に丸投げしたりするケースも珍しくない。
染谷氏は、「国内各所にヒアリングすると、組織横断的に対応しているところが本当に少ないと分かった。各部署が必要に応じて証明書の発行や更新などの申請を手作業で行っており、表計算ソフトで証明書を台帳管理しているケースが大半。運用ルールも担当者任せになっている」と話す。
加えて、基本的にはウェブサイトの数に応じたTLSサーバー証明書が必要になる。染谷氏の試算では、例えば現時点で500枚のTLSサーバー証明書を運用し、枚数に変動がなく毎年10%(50枚)を更新すると仮定すると、2029年3月15日以降は更新頻度が約8倍になり、毎日(1カ月20営業日の場合)15枚を更新し続けることになる。
実際には、デジタルトランスフォーメーション(DX)などの影響でウェブサイトは増えると考えられ、上述の試算で証明書の運用枚数が毎年10%増加したとすれば、更新頻度が現在の約12倍、毎日(同)25枚を更新しなければならなくなるという。証明書の更新は、担当者が手作業で認証局ベンダーにオンライン申請するのが一般的だが、染谷氏は毎日25枚もの証明書を手作業で更新し続けるのは非現実的だと指摘する。
CyberArkによる試算。証明書の利用枚数が変わらない場合で更新頻度が約8倍に増え、毎年10%ずつ増えるなら約12倍になるという
サイト管理者がやるべきこと
TLSサーバー証明書の有効期間短縮は、2026年3月15日から段階的に始まるため、ウェブサイトの運営者側では2029年3月15日以降を見据えた対応をすぐに開始すべきだろう。染谷氏は、まず企業や組織で利用している証明書の状況をなるべく正確に把握する必要があるとアドバイスする。次に、証明書の発行や更新、失効、監視といった運用管理の責任者を一元化する方が良いとし、現状の可視化と運用管理体制を整えつつ日々の運用業務の負荷を軽減するためにシステム化や自動化を検討していくことも望ましいという。
証明書関連のビジネスを手掛けるITベンダーや認証局ベンダーらもウェブサイト運営者向けに情報や対応を支援するツール、サービス、料金プランなどを提供しており、運営者は現状を把握しつつ管理体制や手順などを整備して、サイト利用者に安心と安全なサービスを提供し続けていく取り組みが求められる。
Amazonのアソシエイトとして、CNET Japanは適格販売により収入を得ています
