電子証明書の提供を行なっているGMOグローバルサインは、2009年6月に安価に企業向けの認証局を利用できる「マネージドPKI Lite」を発表した。今まで高価で難解だったPKI の敷居を下げるこのサービスの登場で、なにが実現するのかを解説していこう。
クライアント証明書がそろそろ必要?
電子証明書というと、通常はWeb サーバーで使うSSLサーバー証明書が思い浮かぶ。SSL サーバー証明書は、ユーザーに対してドメイン所有の正当性や組織の実在を証明するものだ。だが、サーバー側からクライアントを認証するクライアント証明書という種類の証明書も存在する。
通常、サーバー側からクライアントを認証するには、ご存じIDとパスワードによる認証が行なわれる。しかし、IDとパスワードによる認証がいかに脆弱かはいまさら説明する必要もないだろう。電話番号や誕生日など簡単に見破られてしまうようなパスワードを使うユーザーも多く、複雑なパスワードの利用を強いると覚えられないという弊害を招く。そもそもユーザー自身が複数のパスワードを管理するのは難しく、漏えいした場合にリカバリも難しい。こうしたユーザー認証の弱点をカバーするのが、クライアント証明書だ。
クライアント証明書にはPC や個人の身元情報が格納されており、基本的にはパスポートや運転免許書、会社のIDカードと同じ。だが、ユーザー認証だけでなく、メールにおいて署名や暗号化まで行なえるのがデジタル証明書の強みである。もちろん、自分自身で証明書を作っても、信用されずにエラー表示されてしまう。よって、パブリックな利用であればグローバルサインのような外部の第三者機関に審査を受け、作成すするのが望ましい。このように、おおまかな仕組みはサーバー証明書と同じである。
それでは、クライアント証明書はどのように活用できるのだろうか? まずはデータベースや業務アプリケーションのアクセス管理を厳密に行なえる。また、S/MIMEなどの技術を使ったメールセキュリティにも有効だ。電子証明書を使うことで、本人であることを相手に提示でき、メールの内容の改ざん検知や暗号化も可能だ。もちろん、メールだけではなく、Officeドキュメントに捺印代わりの電子署名を行なうといった用途にも活かせる。
クライアント証明書の利用例
ASP形式の認証局でクライアント証明書をより簡単に
とはいえ、サーバー証明書とクライアント証明書では、基本的に発行や管理の手間が大きく異なる。ドメインやサーバー自体を変更する機会は少ないため、SSL サーバーの証明書は1年や2年単位で証明書ベンダーに更新をかければよい。だが、ユーザーやPCに対して発行するクライアント証明書は、かなりひんぱんに発行・更新を行なう可能性もある。社員が増えたり、PCが変わったりするごとに、外部の認証局ベンダーに発行を依頼するのはかなり面倒だ。そこで登場したのが、今回紹介するグローバルサインの「マネージドPKI Lite」である。
企業が自前で証明書を発行しようとすると、PKI(PublicKey Infrastructure)の仕組みに従って、自ら認証局を構築する必要がある。だが、PKIの構築や維持には高いコストと高度な知識、メンテナンス技術を要求されることになる。しかし、マネージドPKI Liteを使うと、クライアント証明書を発行したい企業がGMOグローバルサインの証明書発行のシステムをASP形式で利用できるのだ。
マネージドPKI Liteのサービス概要
実際の発行までのフローを見てみよう。まずクライアント証明書を使いたいエンドユーザーは、Web の申請フォームに必要事項を入力し、管理者に証明書発行を申請する。管理者はこの発行申請を受け、グローバルサインに証明書の発行を依頼。あとは、証明書がクライアントに直接発行されるのを待てばよい。CSV 形式の発行対象者リストをまとめてアップロードする機能もあるので、複数の証明書発行でも作業は円滑だ。
管理者はサーバー証明書の管理ツールと同じ画面で、クライアント証明書の発行や検索、破棄、レポートなどが行なえる。複数のクライアント証明書をまとめて管理できるので、きわめて有用だ。また、あくまでユーザー企業の証明書なので、ASPで提供される環境のカスタマイズが可能である。たとえば、申請フォーム画面デザインを変更したり、証明書プロファイル(証明書に記載される情報の総称)を企業ニーズにあわせて選択することができる。
従来、こうしたマネージドサービスでは、ある程度数の多いライセンスしかサポートしていなかった。しかし、グローバルサインのマネージドPKI Liteでは最小10ライセンスから利用でき、価格も1 年で10万5000円とリーズナブルだ。さらに、8月31日まで利用料が50%オフになる「オープン記念キャンペーン」を実施している。10ライセンスでこのキャンペーンを用いれば、1ユーザーあたり1カ月437円でクライアント証明書を利用できることになる。
今までなかなか導入が難しかったクライアント証明書だが、マネージドPKI Liteであればあまり苦労なく導入できそうだ。情報管理に気を遣いたいという企業や、とにかく手間なく、安価にクライアント証明書を利用したいというユーザーにお勧めしたいサービスといえる。
