NGINX証明書ライフマネージメント

高度なロードバランシング、Webおよびアプリケーションサーバー機能、APIゲートウェイ機能、およびセキュリティ機能を専用パッケージに組み合わせたF5 NGINX Oneを2024年9月より提供を開始しました。NGINX Oneの詳細に関してはテクニカルブログをご参照ください。

NGINX Oneに含まれるManagement PlaneのNGINX One ConsoleおよびNGINX Instance Managerにて以下のことが実現できます。

• 接続されたNGINX インスタンスで使用されている証明書の監視
• 証明書のステイタス確認
• 証明書の更新、ローテーション、および展開

証明書管理の詳細に関してはNGINX OneおよびNGINX Instance Managerをご参照ください。

NGINXのManagement Planeにおいて、証明書の管理が実現できることはお伝えしました。一方で、運用者の逼迫などにおいては自動化が有効化と考えます。この自動化においては様々な形で実現できますが、本記事ではCyberArk software株式会社様の証明証ライフサイクルマネージメントを例に挙げさせていただきます。

SSL/TLS証明書の管理不備に起因するサービス停止などが実際に発生するなか、その最大有効期間が47日に短縮されることは組織の証明書ライフサイクル管理おいて大きな課題となります。弊社（CyberArk Software 株式会社）のお客様から伺う限り、現在多くの組織では、スプレッドシートを活用した手動の証明書管理を実施していて、以下の様な課題が存在しているとのことです。

• 組織全体で利用している証明書の把握、可視化不足
• 証明書の有効性確認不備
• 証明書管理の分散化（システムごと等）による一貫性のないセキュリティーレベル（暗号方式、鍵長、有効期間等）
• 煩雑な運用に起因する工数増加・生産性低下
•  

これらの課題は、CyberArk Certificate Manager（以下 CCM）の証明書ライフサイクル管理（CLM）を活用して証明書管理プロセス・タスクを自動化することで解決することができます。以下、CCMの簡単な構成図、保有している機能ともたらす効果について記します。

CyberArkの証明書管理ソリューションは、サーバー証明書以外にも、SSH接続の鍵・証明書、コード署名、Kubernetesで利用するTLS証明書、プライベートCAとの連携でクライアント・デバイス証明書などの管理も行うことができ、組織全体での証明書管理の効率化、運用負荷の軽減、セキュリティーの高度化やビジネス継続性向上を支援します。

CyberArkの証明書管理ソリューションにご興味がありましたら、以下のページをご覧ください。

https://www.cyberark.com/ja/products/certificate-management/

また、CyberArkより直接お話をさせていただく機会のご要望があれば、下記フォーム経由でお知らせください。改めてご連絡を差し上げます。

https://www.cyberark.com/ja/contact/

SSL/TLS証明書の有効期限が47日へと短縮される方向にある中、NGINXの運用者はより頻繁な証明書更新への対応が求められています。こうした背景を踏まえ、NGINX OneやCyberArk Certificate Manager（CCM）といったソリューションを活用することで、運用負荷を軽減しながらセキュリティレベルを維持する取り組みが重要であることを本ブログで述べさせていただきました。本内容はCyberArk software株式会社様主催のIMPACT World Tour 2025 Tokyoのセッションにてお話しさせていただきますので、ご参加いただければと幸いです。

最後に、本ブログはCyberArk Software株式会社様と共同執筆したものになります。

関連情報

F5ネットワークスジャパン合同会社が提供する製品の詳細は下記ページをご覧ください。

https://www.f5.com/ja_jp

https://www.f5.com/ja_jp/products/nginx