PKIは、インターネットの普及により拡大するセキュリティ侵害を防ぐために開発された、まさに基盤となる技術。ユーザーやサーバーの認証、改ざん検知、暗号化などを実現し、さまざまなアプリケーションで汎用的に利用できる。
公開鍵の正当性を証明するPKI
PKIは文字どおり、公開鍵暗号を利用するにあたって重要な鍵の正当性を証明するための仕組みだ。公開鍵暗号方式では秘密鍵と公開鍵という2つの鍵を利用することで、強固な暗号化とデジタル署名を実現する。しかし、この公開鍵暗号を利用するにあたっては、公開鍵の持ち主が正当であることを第三者機関が認証する必要がある。この第三者機関を「認証局(CA)」と呼び、認証局は公開鍵とその鍵の所有者であることを保証するために、電子証明書を発行する。
もちろん、電子証明書はX.509という規格に則って作れば簡単に偽造されてしまうが、認証局からのお墨つきがない証明書は、自分で自分を証明する自己証明書になってしまう。そのため、利用者から信頼されるべき認証局に関しては、下位の認証局を上位の認証局が証明し、最終的に公的な団体が運営するルート認証局に行きつくという階層構造により、信頼性を担保している(図1)。
PKIには、第三者の認証局のサービスを用いることで信頼性を担保するパブリックPKIと、組織内に認証局を構築することで柔軟な運用が可能なプライベートPKIの2種類がある。前者のパブリックPKIの証明書発行ベンダーは、ベリサイン、GMOグローバルサイン、サイバートラスト、セコムトラストシステムズ、コモドなどがあり、おもにSSL サーバー証明書を発行している。
PKIが注目されている理由
PKIは2000年の初頭に登場し、外資系の証明書ベンダーやプライベートCA構築用システムが次々と登場した。しかし、現在に至るまで本格的に普及したのは、SSL サーバー証明書としての利用のみといえるだろう。多くのユーザーは、いまだにIDとパスワードをベースにしたユーザー認証をメインで利用し、電子証明書を活用しているのは一部の教育機関や政府系の組織にとどまっている状態だ。この理由としては、PKI自体が技術的に難しいこと、製品の価格が高価だったこと、そして製品どうしの互換性が確保されていなかったことなどが挙げられる。
しかし、近年はPKIを利用するための敷居も低くなっている。確かにPKIの技術は難しいが、最近ではていねいな日本語の説明を行なう製品やサイトが増えており、とっつきやすくなってきた。また、電子証明書やCA用のソフトウェアの価格も低廉化しており、導入実績も確実に増えている。
PKIの有効性は、いまだに衰えていない。ベンダー独自のワンタイムパスワードやICカードなどの認証に比べ、PKIはインターネット標準技術で構成されており、システム構築の柔軟性が高い。また、単なるサーバー証明だけでなく、メールやWebアプリケーション、ネットワークログインなど、幅広いアプリケーションの認証システムとして、共通に使い回せるのも大きなメリットといえよう。
PKIの普及を促進するにあたってなにより重要なのが、ネットワークの重要性がますます高まり、PKIを取り巻く環境が大きく変化している点だ。クラウドコンピューティングやSaaS が台頭する昨今、ユーザーやコンピューターを正しく特定し、安全に利用するためのPKIのような認証システムは非常に重要になる。特に、今後はユーザーやコンピューターなどを認証するためのクライアント証明書の利用が、本格化していくことになるだろう。一方で、アプリケーションごとにIDとパスワード認証を行なっているようなレガシーなシステムは、将来的に情報漏えいや不正アクセスの温床になるに違いない。
最新のPKIシステムを活用せよ
本企画では、PKIの電子証明書を有効活用するユーザーや製品を紹介していきたい。
まずパート1で紹介するJIPDEC(日本情報処理開発協会)は、社員証として幅広くビジネスで利用可能な「JCAN」という新しい電子証明書の規格を検討しているところだ。ここではGMOグローバルサインのクライアント証明書を用いて、実テストまでの検証を進めている。
また、パート2ではJCCH・セキュリティ・ソリューション・システムズのプライベートPKI製品「Gléas」と製品概要、そしてGléasを活用して安全なリモートアクセスを実現したトヨタデジタルクルーズの事例を紹介する。
この連載の記事
-
第3回
TECH
JCANビジネス電子証明書、グローバルサインでテスト開始 -
第2回
TECH
柔軟性の高いプライベートCAを実現! JS3の「Gléas」 -
第1回
TECH
トヨタデジタルクルーズがJS3「Gléas」を選んだ理由 -
TECH
そろそろ導入?PKIの最新動向とその活用 - この連載の一覧へ