Technology

テクノロジー

認証局は運用が命

日本ベリサイン株式会社 プロダクトマーケティング本部 SSL マーケティング部
2009年6月26日 / 11:00
 
 
前回は、認証強化のための電子証明書を使った2要素認証の仕組と利用シーンを説明しました。

電子証明書は、運転免許証のように組織や個人の身分を証明するための仕組で、PKI(Public Key Infrastructure)と呼ばれるセキュリティ技術に基づいており、ベリサインもこの電子証明書を発行する機関である「認証局」の運営を行っていることもお話しました。

また、2要素認証の中でも、より高いセキュリティレベルを確保したい場合には電子証明書が有効であるとお話しましたが、高いセキュリティレベルが確保できるかどうかは、実は認証局の運用にかかっています。

今回はこの認証局について説明します。

●電子証明書のセキュリティを担保する認証局

認証局は、申請者からの電子証明書発行の要求に対して、発行可否を審査し、許可する場合には、「許可した」と証明する意味で、認証局の署名を加えて電子証明書を発行します。

この申請・発行の仕組をもう少し詳しくお話すると、申請の段階でクライアント側において「公開鍵」と「秘密鍵」のという2つの鍵(鍵ペア)が生成され、「公開鍵」が認証局に送られます。この「公開鍵」に認証局の「秘密鍵」によって署名がされたものが「電子証明書」となり公開されます。 

認証局が発行する電子証明書
認証局が発行する電子証明書

では、この認証局の「秘密鍵」が漏れてしまったらどうなるのでしょうか。もちろん、その認証局から発行した電子証明書の効力が無くなってしまいます。電子証明書のセキュリティを担保するためには、認証局の運用の中でも、「秘密鍵」の管理が最も重要となってくるのです。

ベリサインでは、データセンターの一角に、複数人が別々に持つ物理的な鍵がなければ開けることができない、頑丈な部屋を設置して秘密鍵を厳重に管理しています。また、災害などで認証局の運用がストップしないように、遠く離れた場所でバックアップのシステムも用意しています。さらに、米国の審査基準に基づき、毎年厳しい認証局の運用監査も行っています。

認証局の設置や電子証明書の発行自体は比較的簡単に行えますが、電子証明書のセキュリティを担保するためには、認証局の確実な運用が不可欠です。そのためには、相当の設備と手間も必要となります。例えば、ベリサインでは、認証局の構築・運用をアウトソーシングで提供する「マネージド PKI」として提供しております。

PKI  は、データを暗号化したり、盗聴や改竄を検知したり、またクライアントやサーバーを認証したりする場合に利用される、現行で最も安全性が高いセキュリティ基盤技術です。日本政府も GPKI(Government PKI)として認証局を設置して、電子入札などで利用していますし、欧州・韓国などではさらに進んで、国が提供する多種多様なサービスで電子証明書が利用されています。PKI  は国レベルでも利用されるほどセキュリティレベルの高いしくみなのです。

●パンデミックにも PKI

電子証明書を使ったクライアント認証強化は、特に法人向けのインターネットバンキングサービスで導入が進んでいますが、金融業界以外で今注目されているのが、医療の分野での利用です。現在、日本では電子カルテの導入が進められており、医療機関同士、または医療機関と薬局間で、オンラインでレセプトを交換するという取り組みも進められています。個人の医療情報という非常にセンシティブな情報を、インターネット経由でやりとりする際に、盗聴防止や改竄検知のために PKI は重要な役割を担います。

流通業界でも、これまで卸と小売の間で FAX による受発注が行われていましたが、これをオンラインで行うための通信標準である「流通 BMS(Business Message Standards)」が策定され、導入が進んでいます。この規格でも、安全な取引のためにセキュリティ要件として PKI が指定されています。

また、航空業界では、全日本空輸(ANA)が航空機整備のオンライン化において「マネージド PKI」を採用しています。

これまで、整備士が CD-ROM などの物理メディアを機内に持ち込んで作業を行っていましたが、マネージド PKI 導入により、ネットワーク経由でデータを安全に機体まで送信することができるようになりました。これにより、人為的なミスや情報漏洩を防ぎつつ、迅速かつ効率的なアップデートが可能となりました。

ここで PKI は、(1)データが途中で改竄されていないことを証明、(2)ANA がそのデータの品質を保証したものであることを証明、(3)ネットワークへのアクセスを認証、(4)強固な暗号化により、万が一データを傍受されても内容を読み取られないようにする、という複数の重要な機能を担っているのです。

このように PKI を用いることで、重要なデータも安全にやりとりすることができるため、これまでセキュリティ上の問題からインターネット経由でのデータ交換が行えなかった分野においても、PKI を活用したデータのやりとりが進むと考えられます。

一方、ここ数か月話題となっている新型インフルエンザでも、感染者が出た企業で出社停止などの措置がとられた場合、業務が停滞してしまう恐れがあります。今後、鳥インフルエンザウイルス由来の、強力な新型インフルエンザが大流行する可能性も指摘されており、そうなった場合には、企業活動に多大な支障をきたしてしまうかもしれません。そうした場合に、事業継続性を担保するためには、自宅待機している社員が企業のあらゆるネットワークに安全にアクセスでき、業務を継続できるしくみが必要となりますが、それが PKI では実現できるのです。

PKI は、インターネット経由で機密情報をやりとりしたり、リモートアクセスで重要システムにアクセスしたりする際に、強力なセキュリティを実現します。最近では、簡単に PKI を実現できるサービスも提供されていますが、その高いセキュリティレベルを確保できるかどうかは、認証局の運用次第なのです。

次回は、電子メールを安全にやりとりするしくみの「S/MIME」について紹介します。 

(日本ベリサイン株式会社 プロダクトマーケティング本部 IAS マーケティング部 釜池聡太)

記事提供:日本ベリサイン
【関連記事】
電子証明書を使ったセキュアなクライアント認証のしくみ
ワンタイムパスワードとリスクベース認証の利用シーン
ライブドア、「livedoor」でベリサインの EV SSL 証明書を採用
ユーザーに負担を掛けないリスクベース認証
利便性を追求したワンタイムパスワードによる認証強化

New Topics

Special Ad

ウマいもの情報てんこ盛り「えん食べ」
ウマいもの情報てんこ盛り「えん食べ」 「えん食べ」は、エンジョイして食べる、エンターテイメントとして食べものを楽しむための、ニュース、コラム、レシピ、動画などを提供します。 てんこ盛りをエンジョイするのは こちらから

Hot Topics

IT Job

Interviews / Specials

Popular

Access Ranking

Partner Sites