[市場動向]

2025年10月30日(木)日川 佳三、河原 潤（IT Leaders編集部）

リスト

　SSL/TLS証明書は本来、インターネット通信を暗号化してWebサイトの身元を証明することで、通信の安全性と信頼性を確保するためのものだ。しかし、この信頼を逆手に取って、証明書の仕組みを悪用するサイバー攻撃が後を絶たない。

　そんな中で、SSL/TLS証明書の認証局（CA）とWebブラウザベンダーによる業界団体CA/Browser Forumは2025年4月に、公開SSL/TLS証明書の最大有効期間を段階的に短縮することを全会一致で可決した（発表文、画面1）。

画面1：2025年4月、業界団体CA/Browser Forumは、公開SSL/TLS証明書の最長有効期間を段階的に短縮することを全会一致で可決した
拡大画像表示

　可決した内容を見ると、2026年3月以降、段階的に最長有効期間が短くなり、2029年3月以降に発行する証明書の最長有効期間は47日間になる。時期、最長有効期間、企業の側で必要となる更新頻度は以下のとおりである。

• 2026年3月14日まで：有効期間398日（1年に1回）
• 2026年3月15日以降：有効期間200日（1年に2回）
• 2027年3月15日以降：有効期間100日（1年に4回）
• 2029年3月15日以降：有効期間47日（1年に8回以上）、さらにドメイン制御検証（DCV）期間も10日に短縮

　CyberArk Softwareによると、有効期間短縮の決定は、米アップルが2020年に同社の「Safari」ブラウザで利用できる証明書の有効期間を、それまでの2年間から1年に制限したことに端を発し、ここから業界の趨勢が変わったことの延長線上にあるという。

　同社は、この決定が企業のIT運用とセキュリティ体制に重大な影響を及ぼすとして、SSL/TLS証明書の有効期間短縮化に企業が対処するためには、証明書を自動で更新可能な仕組みを構築する必要があると指摘している。

　「SSL/TLS証明書の有効期間が現在の398日から47日になると、証明書の更新作業は8倍以上に増える。手動による証明書管理は実質的に不可能になり、自動化を早急に検討する必要がある」（同社）

　CyberArkは、2024年に米Venafiの買収で得た、SSL/TLS証明書の自動更新が可能な証明書管理ツール「CyberArk Certificate Manager」を提供している。（同ツールのような）証明書管理ツールを導入することで、システム環境全体で証明書の検出・追跡、リアルタイムでの台帳管理・更新、期限切れ証明書や暗号アルゴリズム脆弱性の早期発見などが可能になると同社は提案する。

　「証明書を自動更新する仕組みは、標準のACMEプロトコルやAPI駆動型ワークフローを用いて人的エラーを削減し、証明書有効期限切れによるサービスの停止を防ぐ。また、一元化されたポリシーとワークフローにより、証明書有効性に関する基準の統一や、更新時期の標準化などを実現できる」（CyberArk）

　同社は合わせて、DevOpsツールとの連携によって、CI/CDパイプラインでの自動的な証明書プロビジョニングやKubernetes、マイクロサービス環境への対応により、開発サイクルの継続性を確保できると助言している。