English
お問い合わせ

PIV Gateway™ CA|クラウド型プライベート認証局

X.509 証明書 / プラットフォーム証明書対応のプライベートCA

PIV Gateway™ CAとは

PIV Gateway™ CAは、X.509 証明書の発行に加え、プラットフォーム証明書の発行にも対応するクラウドベースのプライベート認証局ソリューションです。 PIV Gateway™ CAをご活用頂くことで、AAL3(※1)相当の認証基盤の構築が可能となり、組織内のネットワークやシステムをセキュアにしながら、運用コストを低減させることが可能です。

また、PIV Gateway™ CAはプラットフォーム証明書の発行にも対応しています。プラットフォーム証明書を活用すれば、デバイスの真正性、トレーサビリティの検証が可能となり、サプライチェーンの信頼性を向上させます。
なお、商用認証局でプラットフォーム証明書対応は世界初となります。(2024年2月29日時点 当社調べ)

(※1)AAL3(Authenticator Assurance Level3): NIST SP800-63で定められる認証強度の定義( https://pages.nist.gov/800-63-3-Implementation-Resources/63B/AAL/

プライベート認証局(プライベートCA)とは

プライベート認証局(Private Certificate Authority)とは、特定の組織や企業によって運営される認証局のことで、パブリック認証局(Public Certificate Authority)とは異なり、一般的なインターネットユーザー向けに証明書を発行するのではなく、組織内部や特定のクライアント向けに証明書を発行します。

組織内のシステムにアクセスする際にプライベート認証局が発行する電子証明書を使用することにより外部からの不正アクセスや改ざんを防ぎ、セキュリティを向上させることができます。

PIV Gateway™ CAの機能

  • Certificate Authority
    • X509 Certificate
    • Platform / Delta Platform Certificate
    • CRL
    • OCSP
  • Backed by HSM
  • Open API
  • Protected Security Audit Logs with HMAC

PIV Gateway™ CAの特徴

プラットフォーム証明書に対応

PIV Gateway™ CAはプラットフォーム証明書の発行に対応しています。

プラットフォーム証明書とは、Trusted Computing Groupによって規格化されたコンピューターの構成を保証する証明書で、モデル名、シリアル番号、デバイスのハードウェア部品表などの情報を含みます。 プラットフォーム証明書を活用することで、偽造または変更されたデバイスやコンポーネント、想定外の変更を検出することができます。

FIPS 140-2認証取得済みHSM(Hardware Security Module)

PIV Gateway™ CAは、FIPS 140-2 レベル3 認証済みの耐タンパー性に優れたHSMを用いて、証明書の作成に必要な鍵を安全に生成・管理しています。

FedRAMP / ISMAP登録済みのインフラ

PIV Gateway™ CAは、FedRAMP や ISMAP に登録された信頼性の高いクラウドサービス上で運用されています。

コストパフォーマンスとスケーラビリティ

PIV Gateway™ CAはクラウド環境を利用したプライベート認証局です。高額なHSMサーバ費用、環境構築や運用のための人的コストは不要、クラウドサービスならではのコストパフォーマンスとスケーラビリティを実現しています。なお、クラウド環境と同様の機能を持つオンプレミス版もご用意可能です。

PIV Gateway™ CAの活用事例

ID・パスワードを使用しない、セキュアな認証基盤の構築

サイバー攻撃者の多くは、ID・パスワードの奪取となりすまし利用に代表される、認証・認可に関連するシステムや運用上の欠陥を悪用して目的を遂行します。

証明書を利用したセキュアな認証基盤を構築すれば、サイバー攻撃によるリスクを大幅に低減できるばかりか、アカウントIDやパスワード管理のコストを抑え、ユーザーの利便性も向上させることができます。

デバイスの真正性、構成状態の検証

PIV Gateway™ CA が発行するプラットフォーム証明書は、モデル名、シリアル番号、デバイスのハードウェア部品表(H-BOM)などの情報が含まれています。

H-BOMにはCPU、メモリー、SSD、ハードディスク、NIC、ファームウェアやOSなど様々なコンポーネントなどの情報が記載されているため、偽造デバイス、偽造内部コンポーネント、交換されたコンポーネントや許可されていない設定変更の発見を目的とした、デバイスの真正性検証が可能となります。

米国政府が推進するサプライチェーンセキュリティ強化への対応

近年、米国政府はTPMやプラットフォーム証明書を活用したサプライチェーンセキュリティ強化を推進(※2)しており、デバイスの真正性、完全性、トレーサビリティの確保を重視しています。

PIV Gateway™ CA が発行するプラットフォーム証明書は、コンピュータの真正性、完全性、工場出荷以降の各種変更に関わるトレーサビリティの確保を可能にし、米国政府の要求に対応します。

(※2) 米国政府の取り組み
[NIST SP 800-161 Rev. 1] Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations
Procurement and Acceptance Testing Guide for Servers, Laptops, and Desktop Computers
[Department of Defense INSTRUCTION NUMBER 8500.01] Cybersecurity
[NIST SP 1800-34] Validating the Integrity of Computing Devices

PIV Gateway™ CAの価格

認証局

1 認証局 450 USD / 月額

証明書発行(X.509)

証明書発行数 RSA ECC
1 - 1,000 1 USD / 1 証明書 1 USD / 1 証明書
1,001 - 10,000 0.75 USD / 1 証明書 0.75 USD / 1 証明書
10,001 - 50,000 0.35 USD / 1 証明書 0.35 USD / 1 証明書
50,001 - 100,000 0.05 USD / 1 証明書 0.05 USD / 1 証明書
100,001 - 200,000 0.025 USD / 1 証明書 0.025 USD / 1 証明書
200,001 - 0.0125 USD / 1 証明書 0.0125 USD / 1 証明書
鍵管理方式 HSM FIPS 140-2 Level3 HSM FIPS 140-2 Level3
RSA
ECC
証明書発行数 価格
1 - 1,000 1 USD / 1 証明書
1,001 - 10,000 0.75 USD / 1 証明書
10,001 - 50,000 0.35 USD / 1 証明書
50,001 - 100,000 0.05 USD / 1 証明書
100,001 - 200,000 0.025 USD / 1 証明書
200,001 - 0.0125 USD / 1 証明書
鍵管理方式 HSM FIPS 140-2 Level3
証明書発行数 価格
1 - 1,000 1 USD / 1 証明書
1,001 - 10,000 0.75 USD / 1 証明書
10,001 - 50,000 0.35 USD / 1 証明書
50,001 - 100,000 0.05 USD / 1 証明書
100,001 - 200,000 0.025 USD / 1 証明書
200,001 - 0.0125 USD / 1 証明書
鍵管理方式 HSM FIPS 140-2 Level3

オプション:OCSP

1 認証局あたり 0.06 USD / 月
10,000 OCSP リクエスト RSA 2048 type 1 USD
10,000 OCSP リクエスト RSA 3072, 4096, ECC P256 P384 type 2 USD

PIV Gateway™ラインナップ

PIV Gateway™ CA

PIV Gateway™ CA は、X.509 証明書の発行に加え、プラットフォーム証明書の発行に世界で始めて対応したクラウドベースのプライベート認証局ソリューションです。
AAL3相当の認証基盤の構築や、プラットフォーム証明書を用いたデバイスの真正性とトレーサビリティの検証が可能です。

PIV Gateway™ Trust

「ハードウェアトークン」と「デジタル証明書」を利用した AAL3 相当の パスワードレス多要素認証基盤です。
RFC9334, OpenID Connect 等に対応、PIV Gateway™ CA と連携し、ユーザとデバイスに対する認証・認可の統合管理を簡単で安価に実現します。

PIV Gateway™ PACS

SP800-116に対応した入退出管理システムです。
証明書ベースの認証・認可をドアの開閉制御に応用することで厳格な物理ゾーニングを実現します。

PIV Gateway™ Chronos

GNSSスプーフィングやジャミング攻撃下でも高精度な時刻同期を提供する、高可用性で高精度なNTPタイムサーバです。

お気軽にお問い合わせください

製品やサービスに関するご質問、お見積りのご用命、課題解決のご相談はこちらから
お見積もり・お問い合わせ
資料ダウンロード
なお、機密性を重視したご依頼は cdiprivacy(at)protonmail.com 宛てのメールでも承ります。
※ (at) は @ に置き換えてください。
取扱プロダクト一覧

PIV Gateway™

PKIとハードウェアセキュリティを活用し、物理・サイバーの両面で米国連邦政府基準と同等の高セキュリティな認証・認可の仕組みを実現します。

CDIR

サイバーディフェンス研究所が独自に開発したオープンソースのインシデント初動対応支援ツールです。自組織のインシデント対応に是非ご活用ください。

Threat Landscaper

サイバーディフェンス研究所が開発したVirusTotalと連携して機能する脅威分析ソリューション。日本で流行しているマルウェアやTTPsの把握、様々な脅威アクターのアクティビティを継続的に追跡することが可能になります。

Google Threat Intelligence

世界最大のクラウドソース脅威インテリジェンスソリューション「ViruaTotal」と業界トップレベルの侵害調査の実績をもつ「Mandiant」の2つのプラットフォームを統合、Google社の生成AIによってインターネット上の大量のデータから洞察を可視化できる脅威インテリジェンスソリューションです。

Recorded Future

サーフェスウェブやダークウェブなど90万以上の情報ソースをリアルタイムに収集・統合・分析できるインテリジェンスプラットフォーム。特許取得済みの機械学習と自然言語処理及びAIを活用し、膨大な情報ソースの中から組織に関連する最新の脅威を可視化できます。
(外部リンク)

VirusTotal

ファイルやウェブサイトが悪性であるか否かを検査することができるサービス。有償版のサービスを利用することで、VirusTotalへアップロードされたファイルのダウンロード、YARAルールによるマルウェアのハンティング、IPやドメインに関連する悪意ある行為を過去に遡って分析することなどが可能です。

DomainTools

ドメインに付随する様々な情報を多角的かつヒストリカルに分析することが可能なサービス。Domain Tools Irisを使用することで、任意のドメインに関連する登録者、eMailアドレス、関連するIPアドレスなどの情報を、過去に遡って調査することが可能です。
(外部リンク)

MALTEGO

MALTEGO社が開発したサイバー攻撃の脅威分析を目的としたアプリケーション。オープンソース情報およびサードパーティが提供するサイバーインテリジェンスにアクセスし、取得した情報を分析・可視化する様々な機能を提供しています。
(外部リンク)

TEAM CYMRU Pure Signal

通信内容の秘密保護義務が限定的な法域において、ネットフロー、PDNS、そのほか50種類のデータを取得し続けている脅威インテリジェンスプラットフォーム。自組織、業界、我が国を対象とした攻撃者の動向の観察、C2の先にいる脅威アクターの実IPの特定など能動的なサイバー防御が可能になります。
(外部リンク)

Oxygen Forensics

米国、英国、ドイツ、オーストラリアなど、世界50ヵ国以上の警察組織や法執行機関に採用されているスマートフォンフォレンジックツールです。スマートフォンやタブレットの調査に特化しており、30,468種類以上のデバイスをサポートしています。

Shadow Dragon

Shadow Dragon社のSocial Netを使用することで、世界中の様々なソーシャルメディアを対象に、ユーザー名やメールアドレス、任意の文字列などの情報を分析の起点として、関連する可能性のあるアカウントのアクティビティやプロフィールを分析することが可能になります。
(外部リンク)