IT用語集 2023/10/13

SCEPとは？わかりやすく10分で解説

コラム

SCEP（Simple Certificate Enrollment Protocol）とは

SCEP（Simple Certificate Enrollment Protocol）は、端末やネットワーク機器が認証局（CA）へ証明書を申請し、発行された証明書を受け取るためのプロトコルです。デジタル証明書を端末ごとに手作業で配布する負担を減らし、Wi-Fi、VPN、端末認証、ネットワーク機器の認証に使う証明書を管理しやすくします。

SCEPは、証明書の発行・更新だけでなく、CA公開鍵の取得、証明書問い合わせ、CRL問い合わせも扱います。一方で、証明書ライフサイクル全体を自動処理する仕組みではありません。失効判断、端末廃止時の処理、発行条件の見直し、監査、異常検知は、別途運用設計が必要です。

SCEPの位置づけ

SCEPは、Cisco Systemsが主導した証明書登録方式を起点に広まり、その後RFC 8894で文書化されました。多くのMDM、ネットワーク機器、認証基盤で利用されてきたため、既存環境との互換性を重視する場合に採用しやすい方式です。

ただし、SCEPは比較的古くから使われてきた方式であり、環境によってはESTやCMPのほうが要件に合う場合があります。選定時は、対応製品の有無、認証方式、発行ポリシー、更新処理、失効運用、監査要件を確認します。

SCEPでできること

SCEPの主な役割は、端末や機器が証明書を取得・更新する手順を省力化することです。大規模な端末管理では、証明書を手動で作成し、配布し、更新する運用は破綻しやすくなります。SCEPを使うと、端末側から申請し、CAまたはRA側のポリシーに従って証明書を受け取る流れを作れます。

証明書の発行	端末が鍵ペアとCSRを作成し、SCEP経由でCAへ申請します。承認されると、端末は証明書を受け取り、認証や暗号化通信に利用します。
証明書の更新	証明書の期限が近づいた際に、新しいCSRを作成して申請し、新しい証明書を取得します。期限切れによる接続失敗を抑えやすくなります。
CA証明書の取得	端末がCA証明書や関連情報を取得し、証明書検証に必要な信頼の前提を整えます。
証明書・CRLの問い合わせ	証明書やCRLに関する問い合わせを扱います。ただし、失効判断そのものはCA側のポリシーや運用で管理します。

SCEPで自動化しないもの

SCEPは、証明書の申請と取得を省力化しますが、発行してよい端末を自動的に判断するわけではありません。どの端末に、どの用途の証明書を、どの条件で発行するかは、管理者がポリシーとして設計します。

また、退職者端末、紛失端末、廃棄端末、侵害が疑われる端末の証明書をどう扱うかも、SCEPだけでは完結しません。失効、MDMプロファイル削除、ネットワーク接続拒否、証明書棚卸しを組み合わせて運用します。

SCEPの基本的な流れ

SCEPでは、端末が証明書署名要求（CSR）を作成し、CAまたはSCEPサーバーへ送ります。CA側は申請内容とポリシーを確認し、条件を満たす場合に証明書を発行します。

鍵ペアの生成：端末が秘密鍵と公開鍵のペアを生成します。秘密鍵は端末側で保護します。
CSRの作成：端末が公開鍵と識別情報を含むCSRを作成します。
SCEP経由で申請：端末がSCEPの手順に沿ってCSRを送信します。実装上はCMSやPKCS #10が使われます。
CA側の確認：CAまたはRAが申請内容、認証情報、発行ポリシーを確認します。
証明書の発行：承認後、端末は証明書を受け取り、Wi-Fi、VPN、アプリケーション認証などに利用します。

この流れで注意すべき点は、申請を送った端末が正当な管理対象かをどう確認するかです。チャレンジパスワード、MDM連携、端末登録情報、ネットワーク制御などを組み合わせ、意図しない証明書発行を防ぎます。

SCEPの主な利用シーン

SCEPは、端末数が多く、証明書の配布・更新を定期的に処理する環境で利用されます。代表的な用途は、MDM配下の端末証明書配布、Wi-FiやVPNの端末認証、ネットワーク機器の証明書運用です。

MDMによる端末証明書配布

MDMでは、スマートフォン、タブレット、PCに構成プロファイルを配布し、その一部としてSCEPを使って証明書を取得させる構成があります。端末の追加、交換、初期化が多い環境では、手作業で証明書を配るよりも運用負担を抑えやすくなります。

MDMとSCEPを組み合わせる場合は、端末登録、ユーザー割り当て、証明書テンプレート、更新タイミング、失効処理を一体で確認します。MDMからプロファイルを削除しても、CA側の証明書失効が別途必要になる場合があります。

Wi-FiやVPNの端末認証

企業や学校のネットワークでは、Wi-FiやVPN接続に端末証明書を使うことがあります。特にEAP-TLSでは、端末やユーザーに紐づく証明書を使って認証します。

SCEPを使うと、端末追加時の証明書発行や期限前更新を処理しやすくなります。ただし、証明書が発行されただけでは安全とはいえません。証明書の用途、失効確認、端末紛失時の接続停止、ネットワーク側のアクセス制御もあわせて設計します。

ネットワーク機器の証明書運用

ルーター、VPNゲートウェイ、無線LANコントローラー、その他のネットワーク機器でも、管理画面のHTTPS化、機器認証、IPsec、管理通信の保護に証明書を利用する場合があります。SCEPに対応した機器であれば、証明書申請と更新を機器側から処理できます。

ネットワーク機器では、証明書更新の失敗が通信断や管理アクセス不能につながることがあります。更新期限、失敗時の通知、予備経路、手動更新手順をあらかじめ決めておきます。

SCEPの利点

SCEPの利点は、対応製品が多く、証明書発行・更新の処理を自動化しやすい点です。証明書を端末ごとに手作業で作成・配布する運用に比べ、更新漏れや設定差異を減らせます。

端末数が多い環境に適用しやすい：MDMやネットワーク機器と連携し、証明書配布の手作業を減らせます。
既存製品と組み合わせやすい：多くの端末管理製品、ネットワーク機器、PKI製品がSCEPに対応しています。
更新漏れを抑えやすい：期限前更新を自動化できると、証明書期限切れによる接続失敗を減らせます。
端末認証の導入を進めやすい：証明書配布の負担を下げることで、Wi-FiやVPNでの証明書認証を運用しやすくなります。

SCEPの課題と注意点

SCEPは便利ですが、発行条件を誤ると、意図しない端末に証明書を発行するリスクがあります。証明書は認証の根拠になるため、申請を受け付ける条件、承認方法、発行ログ、失効手順を明確にします。

発行条件を明確にする

どの端末が、どの証明書テンプレートを使い、どの用途の証明書を取得できるかを決めます。MDM管理下の端末だけに発行する、端末登録済みの識別子と照合する、ユーザーやグループごとに証明書用途を分けるなど、運用に合った条件を設定します。

チャレンジパスワードを安全に扱う

SCEPでは、申請時の認証にチャレンジパスワードが使われる構成があります。固定値を長期間使い回すと、漏えい時に不正申請のリスクが高まります。可能であれば、端末や申請ごとに短時間だけ有効な値を使う、MDM経由で安全に配布する、発行ログを監視するなどの対策を取ります。

更新失敗時の対応を決める

証明書更新が失敗すると、Wi-FiやVPNに接続できなくなることがあります。更新開始のタイミングを期限直前にしない、失敗時の再試行を設定する、管理者通知を行う、手動復旧手順を残すなど、期限切れ前に対応できる設計にします。

失効と端末廃止を別途管理する

SCEPは、証明書発行と更新を中心に扱う仕組みです。端末の紛失、退職、廃棄、侵害が疑われる場合は、証明書失効、MDM登録解除、ネットワーク接続拒否、アカウント無効化を組み合わせます。証明書を端末から削除するだけでは、CA側の失効状態まで保証されません。

SCEP、EST、CMPの違い

証明書登録や証明書管理では、SCEPのほかにESTやCMPも選択肢になります。既存製品の対応状況、認証方式、運用要件、セキュリティ要件に応じて選びます。

SCEP	対応製品が多く、MDMやネットワーク機器で使われてきた方式です。証明書発行・更新を中心に扱います。既存環境との互換性を重視する場合に採用しやすい一方、発行条件や申請認証の設計が重要になります。
EST	RFC 7030で定義された方式で、CMCメッセージをTLSとHTTPで保護されたチャネル上で扱います。HTTPSを前提にした証明書登録方式として、要件に合う場合に検討します。
CMP	証明書作成・管理を扱う包括的なプロトコルです。現行仕様としてはRFC 9810を参照します。RAやCAを含むPKI構成で、より広い証明書管理操作を扱いたい場合に検討します。

SCEPが適しているケース

MDM配下の端末へ証明書を配布する
既存のネットワーク機器やPKI製品がSCEPに対応している
Wi-FiやVPNの端末証明書を大量に発行・更新する
現行運用を大きく変えずに証明書配布を省力化したい

ESTやCMPを検討するケース

新規のPKI基盤を設計する
申請認証や証明書管理操作により厳密な要件がある
IoTや産業機器など、証明書ライフサイクルを長期運用する
既存SCEP運用で発行管理や監査に限界が出ている

SCEP運用で確認するポイント

SCEPを導入する前に、発行ポリシー、更新設計、監視、失効、ログ管理を決めておきます。技術的に発行できることと、安全に運用できることは別です。

発行ポリシー

証明書の用途、対象端末、対象ユーザー、有効期間、鍵長、テンプレート、発行条件を定義します。Wi-Fi用、VPN用、端末認証用、機器認証用を分ける場合は、それぞれの用途と制限を明確にします。

更新設計

更新を開始する時期、再試行回数、更新失敗時の通知、期限切れ時の復旧方法を決めます。証明書の有効期限が短いほどセキュリティ上の利点はありますが、更新失敗時の影響も大きくなります。運用負担とリスクを比較して設定します。

監視とログ

発行件数、失敗件数、更新状況、異常な申請、同一端末からの繰り返し申請、想定外の証明書テンプレート利用を確認します。発行ログを監視できない状態では、不正申請や期限切れの兆候に気づきにくくなります。

失効と棚卸し

端末の紛失、退職、廃棄、管理外端末化が発生した場合に、証明書を失効できる手順を用意します。発行済み証明書の棚卸しを行い、不要な証明書や用途不明の証明書を残さないようにします。

まとめ

SCEPは、端末やネットワーク機器がCAへ証明書を申請し、発行・更新するためのプロトコルです。MDMによる端末証明書配布、Wi-FiやVPNの端末認証、ネットワーク機器の証明書運用で利用されています。

導入時は、SCEPを証明書ライフサイクル全体の自動化手段として過大に扱わないことが大切です。発行条件、チャレンジパスワード、更新失敗時の復旧、失効、ログ監視、棚卸しを設計しなければ、証明書配布は省力化できても、認証基盤としての安全性は担保できません。既存環境との互換性を重視する場合はSCEPが選択肢になりますが、新規設計や要件が厳しい環境では、ESTやCMPも比較対象に含めます。