電話機にデジタル証明書を組み込む Polycom の取り組みを タレスのサポートでスピードアップ

Polycom は VoIP のセキュリティを 強化するためにタレスのプロフェッショナル サービスと HSM を選びました。

象徴的な三角形の会議電話で最もよく知られる Polycom は、世界中の同僚やパートナーとの共同作業にかかる手間 を省き、効率を高め、快適な環境を作り出すことによって 1990 年代前半にビジネスコミュニケーションを変えまし た。IT バイヤーの間では、そのブランドは今でも品質の高 さ、明瞭な音質、そして便利さの代名詞として知られてい ます。ボイスオーバー IP (VoIP) デバイスの市場が成長し、 VoIP 電話のラインナップがデスクトップから会議室まで拡 大する中で、Polycom は自社の電話製品を強化して独自の ID を組み込むことによって、顧客やサービスプロバイダの ネットワークで簡単に識別できるようにして、偽造や不正 使用の試みを阻止することを決意しました。具体的には、 タレスの nCipher 製品ラインのハードウェアセキュリティ モジュール(HSM)で、デジタル証明書及び暗号化鍵を生成、 保護することで実現します。

Polycom の製品管理責任者の Marek Dutkiewicz 氏は次の ように述べています。「我が社の VoIP デバイスはデジタル 証明書を使用して自らをネットワーク上で認証できます。 証明書は製造プロセスの一部として発行されるので、我が 社の顧客やパートナーは、簡単に自らを認証でき、さらに 偽造やスプーフィングの可能性を排除することもできま す。我が社の成功は、タレスのプロフェッショナルサービ スが配備したタレスの HSM によって支えられています。」

Thales eSecurity Provides a Root of Trust for Polycom Phones

VoIP のセキュリティの保護

VoIP には、従来の通信技術に比べて低コストであり、他の IP アプリケーションとの統合が可能であるという 2 つの重 要な利点があります。しかし、他のインターネットベース の通信と同様に、ネットワーク上の正体不明なデバイスや 個人など、セキュリティ上の懸念があります。従来の VoIP 電話は識別のためにパスワードを使用していましたが、明 確な身元確認は難しく、エンドユーザやサービスプロバイ ダにセットアップの負担をかけていました。 その上、こ のパスワードベースのプロセスは、電話メーカーの偽造デ バイス対策としては不十分でした。

パスワードベースのセキュリティの問題点のいくつかは、 デジタル証明書で解決することができます。デジタル証明 書は、パスワードと異なり、デバイスが自身および接続す るネットワークを認証できる唯一の認証方法。たとえば、 有効な証明書を持つデバイスは接続しているサーバが認証 済みであることを確認でき、認証済みサーバは接続してい るデバイスの真偽を確認できます。セキュアに生成および 配布されたデジタル証明書は偽造不可能なため、デバイス のスプーフィングや偽造を簡単に見破ることができます。

Dutkiewicz 氏は次のように説明します。「スプーフィング 可能な電話では、不正に通話されたり、不正確な通話料金 が請求される危険があります。Polycom は顧客とパート ナーのニーズを満たすソリューションの提供に取り組んで おり、セキュリティも例外ではありません。デジタル証明 書で電話を識別することによって、セキュリティリスクを 大幅に減らすことができます。我が社に必要なのは、証明 書とそれに対応する秘密鍵を生成して電話に組み込み、シ ステムを製造プロセス全体で管理できるソリューションで あることがわかりました。」

実績のある専門家からのサポートは必須

進むべき方向を見つけた Polycom は、適切なソリューショ ンと導入をサポートしてくれるパートナーを探し始めまし た。複数のテクノロジーベンダーやソリューションデベロッ パーと可能な選択肢について議論しましたが、Polycom の 要求、すなわち実績のある技術、製造時の暗号化鍵生成と デジタル証明書発行の経験、セキュアなエンドツーエンド プロセスを開発する能力をすべて備えていたのは 1 社だけ でした。それがタレスのプロフェッショナルサービスです。 タレスのチームは、デジタル証明書発行プロセスと鍵生成 プロセスのセキュリティをタレスの HSM によって保護す る仕組みについて説明しました。最も重要だったのは、チー ムが Polycom の製造プロセスに統合するソリューションを 設計し、実践する方法まで理解していたことです。

Dutkiewicz 氏は次のように述べています。「私たちは、タレス の HSM を採用し、タレスのプロフェッショナルサービスの支 援を得てソリューションを導入することに決めました。タレス は、ニーズに合わせたセキュアな VoIP ソリューションを設計 し、導入するために必要な専門知識を提供してくれました。」

効果的なプロセスの開発

タレスのプロフェッショナルサービスは、Polycom のニー ズを完全に満たすために、Polycom のスタッフと緊密に作 業を進めました。Polycom は製造プロセスでどのように証 明書を活用したいかを説明し、タレスは Polycom が望む 機能を提供できるシステムを詳細化しました。

タレスのコンサルタントは、北米にある Polycom のデー タセンターで鍵を生成し、Microsoft の認証局 (CA) を使用 してデジタル証明書に署名するソリューションを開発しま した。鍵の生成と証明書への署名はすべて HSM 環境内で 行われます。その後、鍵と証明書は、タイにある Polycom の製造施設にあるタレスの HSM に転送されます。新しく 製造された VoIP 電話に組み込まれるまで、鍵と証明書は 暗号化された状態で HSM 内部に保存されます。

Dutkiewicz 氏は次のように述べています。「我が社は、デー タセンターで鍵と証明書を生成し、製造施設に転送して、新 しく製造したデバイスにセキュアに組み込むシステムを望ん でいました。タレスのプロフェッショナルサービスは、我が 社が望み、必要としていたシステムを実現してくれました。 タレスのチームの協力で、顧客の通話と我が社を偽造から保 護するプロセスを開発し、導入することができたのです」

セキュアにプロセスを実行

タ レ ス は、 タ レ ス の HSM の内部で Secure Execution Environment (SEE) を使用することによって、証明書と鍵の 生成、転送、およびデバイスへの組み込みというプロセス のエンドツーエンドの保護を実現しました。タレスの SEE を使用することで、タレスの HSM はセキュアな環境内で 様々なプロセスを実行できます。タレスのプロフェッショ ナルサービスはその機能を利用して、電話機へのペアの暗 号鍵生成、証明書の署名の要求、Polycom の製造施設への 暗号化されたパッケージの転送を実行するコードを作成し ました。さらに、製造施設の HSM 内で、暗号化された SSL による接続を開始し、新しく製造された電話機内部で終端 させるプロセスを設計しました。この接続によって、セキュ アに鍵と証明書を電話機に組み込むことができます。

Dutkiewicz 氏は次のように説明しています。「タレスの HS M によって、電話機を識別する証明書と秘密鍵がセキュア な状態に維持され、タレスの SEE によって世界を半周する 発行プロセスが保護されます。このプロセスは、我が社の 製造プロセスにデジタル証明書の発行を組み込むための非 常に有効でセキュアな方法であることがわかりました。」

継続的に成功を収めるための基盤

Polycom は、タレスの HSM を利用したデバイス認証プロ セスによって、偽造リスクの低減と販売機会の増加という 2 つの収益面のメリットがもたらされたと認識しています。

Dutkiewicz 氏は次のような見解を示しています。「偽造デ バイスがどれほど本物に似せたとしても、有効な証明書が なければ、認証された VoIP ネットワークをごまかすこと はできないでしょう。タレスの HSM は、製造から日常業 務まですべてのプロセスの基礎になっています。銀行の大 金庫のようなものとも言えますが、実際にはそれ以上に安 全です。最も重要なことは、もちろん、顧客の利益になっ ているということです。顧客は当然、面倒な手間をかけず に VoIP デバイスがセキュリティで保護されることを望ん でいます。デジタル証明書のおかげで、売上が伸び、市場 でのシェアが増加していると考えています。」

ダウンロード