簡潔な回答
Quick Answer
安全な証明書共有とは、品質文書 — MTC、CoC、NDE reports — を制御されたチャネルを通じてお客様に配信することを意味します。このチャネルは受信者を認証し、アクセスをログに記録し、無断転配を防止し、内部システムを露出させません。オプションは、アクセス制御リンク付きの暗号化メールから、ドキュメント単位の権限を持つカスタマイズされた顧客ポータルまで多岐にわたります。
お客様が証明書をリクエストする場合、最も簡単な対応は PDF をメールに添付して送信することです。問題は PDF にあるのではなく、メールが提供できないすべてのことにあります:配信確認、ドキュメントにアクセスした人の証拠、証明書が置き換わった場合のバージョン管理、およびドキュメントが受け取るべきでない当事者に転送されなかったといういかなる保証も。
品質証明書の場合 — 独占的な材料データ、熱可追跡性、および供給業者情報を含む — 管理された配布は理論的な懸念ではなく、実際の要件です。
証明書配布における「安全」の意味
証明書共有におけるセキュリティには、いくつかの異なる特性が含まれます:
認証: 受信者は本人です。未確認のメールアドレスではなく、正しい顧客の連絡先と共有しています。
認可: 受信者は共有される特定のドキュメントを受け取る権限があります。顧客は自分の注文の証明書にアクセスできる必要があります — 他の顧客の作業ではなく。
機密性: コンテンツは転送中および保存時に保護されます。暗号化された転送およびアクセス制御されたストレージ。
監査証跡: 誰が何にアクセスしたか、いつアクセスしたかの記録。ドキュメントの真正性またはタイミングについて質問が生じた場合、証明書がいつ共有され、アクセスされたかを正確に証明できます。
整合性検証: 受け取ったドキュメントは送信されたドキュメントと一致します — 転送中または配信後に変更されていません。
アクセス制御の永続性: 共有ドキュメントへのアクセスを取り消す必要がある場合 — 受信者が役割を変更した、証明書が置き換わった、または関係が終了したため — 受信者がコピーを削除することに依存せずに取り消すことができます。
メールはこれらの特性のいずれも確実に提供しません。安全な共有メカニズムはすべてを提供します。
証明書共有の一般的なシナリオとそのリスク
シナリオ 1: メール添付ファイル(最も一般的、最も制御されていない)
メールで送信された PDF は:
- 送信後追跡されない — 開かれたか、転送されたか、印刷されたかについての可視性がありません
- 取り消し不可 — 証明書が置き換わるか、エラーが見つかった場合、元のドキュメントを回収できません
- 安全でない — メールはデフォルトで暗号化されません。添付ファイルは転送中に傍受される可能性があります
- 認証されていない — 転送されたメールを受け取った人は誰でもドキュメントを持っています
メール添付は低感度ドキュメントと信頼できる長期の顧客関係に許容されます。規制業界、機密注文、またはドキュメント制御が監査されるあらゆる状況には不十分です。
シナリオ 2: 共有フォルダ(便利、高リスク)
顧客に共有フォルダ(Dropbox、SharePoint、Google Drive)へのアクセス権を付与すると:
- そのフォルダ内で何にアクセスできるかに制限がない
- ドキュメント単位または注文単位のアクセス制御がない
- アクセスの意味のある監査証跡がない
- 顧客アカウントが侵害されている場合の露出
- 追加共有を制御できない
フォルダベースの共有は シンプルであるため一般的です。ほぼすべてのセキュリティと監査基準で失敗します。
シナリオ 3: 顧客のサプライヤーポータル(彼らのシステム、あなたのデータ)
多くの大きな顧客は、サプライヤーにサプライヤーポータルに直接証明書をアップロードするよう要求します。これは顧客の観点からセキュアです — 彼らはアクセスを制御します。あなたの観点からすると、以下を意味します:
- 自分のログ以外に何がアップロードされたか、誰がアップロードしたかの記録がありません
- ドキュメントが正しく受信されたことを確認できません
- ポータルは顧客の保持期間を超えてドキュメントを保持しない可能性があります
- 顧客のシステムの可用性とレコード保持に依存しています
顧客ポータルへのアップロードは配信要件を満たしていますが、独自の保持システムを置き換える必要があります。あなたのコピーを保管してください。
シナリオ 4: カスタマイズされた証明書共有ポータル(最も制御されている)
品質ドキュメント共有専用に構築されたポータルは以下を提供します:
- 顧客ごとのアクセス制御 — 各顧客は自分の証明書のみを表示します
- ドキュメント単位または注文単位のアクセス許可 — 認可されたもの正確に共有します
- オプションの再認証を伴う有効期限リンク
- 誰が各ドキュメントを表示またはダウンロードしたかを示すアクセスログ
- アクセス時の通知(領収書確認に役立ちます)
- ドキュメント置換 — 更新された証明書が元を置き換える場合、顧客は新しいバージョンに導かれます
- 内部システム、ERP データ、または他の顧客情報の露出なし
これは複数の顧客に頻繁に出荷し、品質監査を受ける多くの組織に適したモデルです。
技術実装:安全な共有システムに必要なもの
共有システムを構築するか評価するかに関わらず、これらの技術的属性が重要です:
アクセス制御アーキテクチャ
各ドキュメント共有は以下に限定する必要があります:
- 特定の顧客(テナント分離 — クロステナント可視性なし)
- 特定のジョブ、注文、または出荷(証明書ライブラリ全体ではなく)
- 顧客の特定の認可連絡先または連絡先セット
受信者側のロールベースのアクセス:一部の連絡先は読み取り専用アクセスが必要です。他の人はダウンロード権が必要な場合があります。
認証を使用したリンクベースの共有
セキュアなリンクは:
- 受信者単位または共有イベント単位で一意です
- 時間制限(ユースケースに適切な有効期限日)
- オプションで受信者の再認証が必要(メール確認、パスワード、または SSO)
- クリックまたはダウンロード時にアクセスログで追跡されます
それを持っている誰でもが無期限に機能するリンクは安全な共有ではありません — それは異なる配布モデルです。
監査ログ要件
規制業界の場合、監査ログは以下をキャプチャする必要があります:
- ドキュメント識別子
- 共有イベント:タイムスタンプ、共有を認可した人、受信者
- アクセスイベント:タイムスタンプ、受信者 ID、アクション(表示、ダウンロード、印刷)
- 任意の取り消しイベント
このログは不変です — 事後に編集することはできません。
ドキュメント完全性
共有されるドキュメントは改ざん防止である必要があります。オプション:
- 組織の証明書からの暗号化デジタル署名付き PDF
- ハッシュ検証 — 受信者はドキュメントハッシュが元と一致することを確認できます
- 透かし — 無断転配を阻止する日付/受信者固有の透かし
内部システムの露出なし
証明書ポータルへの外部アクセスは、内部ネットワーク、ERP、または運用システムから完全に隔離する必要があります。ポータルは必要最小限のデータで動作します — 承認された最終的な証明書のみを提供します — 顧客アカウントが侵害されても、内部システムへのパスを提供しません。
「直接アクセス」をリクエストする顧客に何を伝えるか
一部の顧客はシステムへの直接アクセスをリクエストします — ERP またはドキュメント管理システムへのログインで、自分で証明書をプルできます。拒否のセキュリティケースは強力です:
- 直接システムアクセスは証明書を超える内部運用データを露出させます
- 侵害された顧客アカウントはあなたの境界内の脅威行為者になります
- 顧客がシステムログインを持つと、アクセスするものを制御できません
- クロステナントデータ露出リスクは重大です
適切な対応は、顧客に自分の証明書への自動サービスアクセスを提供するカスタマイズされた共有ポータルを提供することです — システムアクセスなし。TestCert このモデルを提供します:顧客は彼らのドキュメントへのアクセス制御された専用ビューを取得します。それ以上です。
今日の証明書共有における最も一般的なセキュリティリスクは何ですか?
最も一般的なリスクはメール転送による無制御配布です。顧客組織の 1 つの連絡先に送信された証明書は、社内転送、下請け業者に、または最悪の場合はフォーラムに投稿されたり、競合他社に提供されたりする可能性があります。独占的な熱化学データを含むドキュメントの場合、これは現実的な知的財産の懸念です。アクセス制御と監査ログを使用したリンクベースの共有は、このリスクの大部分を排除します。
顧客は元の証明書を受け取る権利がありますか、それとも紙のコピーを送ることができますか?
これは顧客の PO 要件と適用可能な標準によって異なります。ほとんどの品質フレームワークは、紙の原本の代わりに認証されたコピーまたは PDF バージョンを受け入れます。一部の ASME アプリケーションは、特定のドキュメントタイプについて、湿式インク署名されたオリジナルを要求します。21 CFR Part 11 に基づいて動作する医薬品顧客は、電子記録要件を満たすレコードを必要とする場合があります。注文受け入れ時に明確にします — PDF へのデフォルト設定は、顧客が別途指定しない限り、ほとんどの商業製造に許容されます。
私たちが送信した証明書を受け取らなかったと言う顧客にどう対処しますか?
アクセスログを備えたカスタマイズされた共有システムはこれらの紛争のほとんどを排除します — 共有イベントとアクセスイベント(またはその欠如)を表示できます。メールの場合、「受け取らなかった」ははるかに解決が難しいです。ベストプラクティス:メール添付の代わりに配信追跡を使用した共有リンクを使用し、リンクが定義された期間内にアクセスされていない場合はフォローアップ通知を送信します。重要な出荷の場合は、ドキュメント受け取りの書面による承認をリクエストしてください。
顧客証明書共有に SharePoint や Dropbox などの標準的なファイル共有サービスを使用できますか?
これらのサービスは適切な構成で使用できますが、注意深いアクセス制御セットアップが必要です。各顧客は完全に隔離されたスペースを持つ必要があります — 顧客間の共有フォルダなし。アクセスはサイトレベルではなく、ドキュメントまたはフォルダレベルで構成する必要があります。監査ログを有効にして確認する必要があります。最もシンプルで監査防御的なアプローチは、汎用ファイルストレージを適応させるのではなく、品質ドキュメント共有用に特別に構築されたソリューションです。
顧客関係が終了したときに共有された証明書はどうなりますか?
顧客関係が終了したときは、アクティブな共有アクセスを取り消して、顧客がポータルからドキュメントをダウンロードし続けられないようにします。必要な保存期間中、共有された証明書のコピーを保管してください — 顧客関係の終了はあなたの保持義務を終了しません。アーカイブされたレコードに適用されたアクセス取り消しと保持ポリシーを文書化します。
Ready to automate your certificate workflow?
Try TestCert free