[市場動向]

2025年12月25日(木)日川 佳三（IT Leaders編集部）

リスト

写真1：CyberArk Software ソリューションエンジニアリング本部 ソリューションアーキテクト CISSPの染谷浩子氏
拡大画像表示

　「SSL/TLSサーバー証明書は、部門ごとのアプリケーション担当者が手作業で更新しているのが現状だ。これから証明書の有効期限が短くなっていくにあたっては、更新作業の自動化が必須だ」。CyberArk Softwareのソリューションエンジニアリング本部でソリューションアーキテクトを務めるCISSPの染谷浩子氏（写真1）は、企業によるサーバー証明書の運用実態と課題について、こう指摘した。

　既報のとおり、2025年4月に証明書の要件を定める業界団体「CA/Browser Forum」において、SSL/TLSサーバー証明書の有効期間短縮化が可決された（発表文、関連記事：SSL/TLS証明書の有効期間が2029年に47日へ短縮、証明書管理の自動化が必須に）。

　2026年3月以降、段階的に最長有効期間が短くなり、2029年3月以降に発行する証明書の最長有効期間は47日間になる。つまり、手作業による証明書の更新が段階的に困難になっていく。変更スケジュールは以下のとおりである（図1）。

• 2026年3月14日まで：398日（1年に1回）
• 2026年3月15日以降：200日（1年に2回）
• 2027年3月15日以降：100日（1年に4回）
• 2029年3月15日以降：47日（1年に8回以上）

図1：サーバー証明書における最大有効期間の変更スケジュール（出典：CyberArk Software）
拡大画像表示

　企業のコーポレートサイトやECサイトで、サーバー証明書の有効期限が切れていた場合、訪問者・顧客がサイトにWebブラウザでアクセスしたときに警告が出ることになる。染谷氏は、「たった1つの更新忘れが問題になったケースは過去にも多い。有効期限切れをビジネスリスクとして捉えなければならない」と警告した。

　遠い将来の話ではなく、2026年3月には早くも有効期限が半減する。その後、段階的に最大47日にまで有効期限が短くなると、2029年には更新頻度は現状の約8倍になる（図2）。CyberArkは、「事業が成長してサーバー証明書の必要数が増えると、さらに更新回数は増える」（染谷氏）ことへの注意を促している。

図2：サーバー証明書の更新頻度が上がることによる影響（出典：CyberArk Software）
拡大画像表示

　また、今後、公開鍵暗号が現在主流のRSAや楕円曲線暗号（ECC）から耐量子計算機暗号（PQC）に替わる要求が高まった際などにも証明書の更新が必要になる（関連記事：NIST、耐量子暗号アルゴリズム3種類をFIPS標準として最終決定、格子暗号で鍵交換/電子署名）。

　なお、サーバー証明書は、PKI（公開鍵暗号基盤）の上に成り立っている。ユーザー企業は、公開鍵などの必要な情報を含んだ発行リクエスト文書（CSR）を証明書発行ベンダーに提出し、証明書発行ベンダーがこれに電子署名を施すことでサーバー証明書を発行している。

　ユーザーは、更新の手続きとして、有効期限が切れないうちに、証明書発行ベンダーから新たな有効期限のサーバー証明書を入手して入れ替える必要がある。染谷氏によれば、現状、ほとんどの企業で、この作業が手作業で行われているという。

　例えば、「だれが、どのサーバーで証明書を使っているか、有効期限はいつまでか」といったインベントリ情報を手作業で調べ、Excelで台帳管理している。また、サーバー証明書も、証明書発行ベンダーのWeb画面を操作してテキストファイルのコピー&ペーストで生成・入手しているという。

●Next：証明書更新作業をどうやって自動化するか