1. 様々な電子証明書の役割と必要性

様々な電子証明書の役割と必要性

  • このエントリーをはてなブックマークに追加

みなさんは「電子証明書」と言われてどんな種類の証明書が思い浮かびますか?そして思い浮かんだ証明書のうち、いくつきちんと説明できますか?ここではこの質問の答えに詰まってしまう人のために、全部で4つの電子証明書の役割と必要性について解説します。

そもそも電子証明書とは?

電子署名と電子証明書

ネットワークを利用していると、多くのセキュリティ上の問題が発生します。例えばネットワークを悪用すると、XさんからYさんへのメールを盗み見して、内容を改ざんしたり、第三者のZさんがXさんになりすましてYさんにメールを送信したりといったことができてしまいます。

これを防ぐための手段の1つが「電子署名」です。電子署名ではデータが正しいものであると証明する「公開鍵」と送信者がデータを暗号化する「秘密鍵」が使われます。公開鍵は現実世界での印影やサインにあたります。しかし残念ながら電子署名では「そもそもその署名が本当に正しいものなのか」までは把握できません。現実世界で言えば、捺された印鑑が確かにXさんのものなのか、それともZさんがどこかで買ってきたものなのかがわからない、ということです。

図:電子署名の流れ
図:電子署名の流れ

この問題を解決してくれるのが「電子証明書」です。

電子証明書の仕組み

電子証明書は現実世界における「印鑑証明書」と同じ役割を持っています。電子証明書には印鑑証明書の印影にあたる公開鍵のほかに、証明書の発行者名と発行した「認証局」の情報が組み込まれています。認証局とは電子証明書の発行を行う機関のことです。

認証局には最も信頼性の高い電子証明書を発行する「ルート認証局」と、その下位に位置する「中間認証局」があります。電子証明書は発行する機関にこのような階層構造を採用することで、より高い安全性を確保しています。私たちがネットワーク上で安全に情報のやり取りができるのは、コンピュータが自動的に電子署名と電子証明書の処理を行って、安全性を確認してくれているからなのです。

以下で解説する「サーバ証明書」「デバイス証明書」「クライアント証明書」も、全ては電子署名と電子証明書の仕組みを基本としています。

サーバ証明書はサイト運営組織の実在を証明する

サーバ証明書の2つの機能

サーバ証明書は情報通信先のサイト運営組織が組織の実在を認証局に証明してもらうための電子証明書です。

サーバ証明書の機能は2つあります。1つは「サイトの実在証明」です。例えばXさんが「私は○○に住んでいるXという者です」とYさんに自己紹介したとします。この時点ではYさんはXさんが本当に「○○に住んでいるXという者」かどうかを判断できません。しかしXさんが住所と氏名、顔写真の載っている免許証を提示してくれれば、確かにXさんが「○○に住んでいるXという者」だと判断できます。この時の免許証がサーバ証明書で、公安委員会が認証局です。

図:サイトの実在証明
図:サイトの実在証明

もう1つの機能は「暗号化通信」です。サーバ証明書を使うとユーザのコンピュータとサーバの間の通信を暗号化し、個人情報やクレジットカード番号などを第三者から盗み見られないように加工することができます。

図:暗号化通信
図:暗号化通信

実在証明と暗号化通信の必要性

名前を名乗らない人や、名乗っても身分を証明しないような人物から何か商品を買ったり、サービスを受けたりはしないはずです。これはネットワーク上でも同じです。素性の明らかでないサイトからモノやサービスを購入しようとは思いません。したがってサーバ証明書の実在証明は、サイトの信頼性を確保するために必要不可欠な機能なのです。

暗号化通信も同じ理由で必要不可欠です。個人情報を誰でも見られる場所に置いているようなお店で買い物をするのは誰でも怖いと感じるでしょう。個人情報やクレジットカード番号は誰の目にも触れない場所に保管するか、目に触れても解読できない状態にしておいて欲しいものです。この役割を担っているのが暗号化通信機能なのです。

デバイス証明書はリモートアクセスに役立つ

デバイス証明書の機能

デバイス証明書は主にスマートフォンやタブレットなどのスマートデバイスにIDをインストールし、そのIDをもって証明書とする電子証明書です。サーバに接続するデバイスを限定し、身元のわからないデバイスからのアクセスをブロックすることができます。これはいわば社員証のようなものです。この社員証を携帯していない人間は会社の入り口で警備員に呼び止められ、無断で侵入できません。

図:クライアント認証の仕組み
図:クライアント認証の仕組み

リモートアクセスとは

スマートデバイスから社内ネットワークへのアクセスを許可している企業には、アクセスのためにIDやパスワードなど特定の情報を定め、それを社員に配布している企業も少なくありません。しかしこれでは接続するスマートデバイスを限定できないため、会社が配布したスマートデバイスからはもちろん、セキュリティの甘い個人所有のスマートデバイスからも接続できてしまいます。これでは情報が漏れ、社内ネットワークにアクセスされるのは時間の問題です。一方、リモートアクセスは特定の端末からしかアクセスできないので、セキュリティ管理が格段に楽になります。その意味でリモートアクセスとデバイス証明書は、非常に相性が良いと言えるでしょう。

ユーザ証明書とデバイス証明書は役割の違う「クライアント証明書」

クライアント証明書には2種類ある

クライアント証明書は接続先のサーバの身分を証明するサーバ証明書に対し、接続元のクライアントPCの身分を証明する電子証明書です。クライアント証明書には大きく「ユーザ証明書」と「デバイス証明書」の2種類があります。どちらもクライアント証明書ですが、セキュリティレベルや用途、導入コストなどの違いがあります。以下ではこの2つについて解説していきます。

ユーザ証明書とは

ユーザ証明書は主に「SSL-VPN」の証明書認証に利用されるクライアント証明書です。VPNとはVirtual Private Networkの略称で、ここではインターネット上に作られた仮想的な専用回線を指します。例えば出張先から社内ネットワークにリモートアクセスする場合、他のユーザも簡単に侵入できる共有ネットワークでは、簡単に不正アクセスされてしまいます。これを防ぐために共有ネットワーク上にVPNを構築し、第三者からデータを守るのです。

VPNにはさらにIPsec-VPNとSSL-VPNの2種類があり、処理速度が遅くセキュリティレベルが劣る代わりに、より簡単かつ低コストで導入できるのがSSL-VPNです。ユーザ証明書はこのSSL-VPNを導入するためにリモートアクセスの接続元へインストールされます。

デバイス証明書とは

デバイス証明書は主に「IEEE802.1X認証」に利用されるクライアント証明書です。IEEE802.1X認証とは「IEEE802.1X」というユーザ認証規格に基づいた認証を意味します。IEEE802.1X認証は主に社内ネットワークの中でのセキュリティを強化するために利用されます。

例えば社外からの悪意ある第三者の侵入を警戒して、警備員をつけたり、入り口に指紋認証の設備を導入したりしたところで、社員の中に悪意ある人物がいれば何の意味もありません。セキュリティを万全にするためには外部のみならず内部にも目を光らせる必要があるのです。IEEE802.1X認証はそのための技術であり、デバイス証明書はこの技術を導入するために必要な電子証明書です。

基本を知ってさらに理解を深めよう

電子証明書と一口に言っても、様々な種類の証明書があり、それぞれに役割があります。そのため全ての電子証明書が、どんな企業にも必要なわけではありません。例えばデバイス証明書はリモートアクセスの頻度が高いのであれば必要ですが、社内ネットワークで完結しているのであれば必要ありません。

また電子証明書には「失効処理がしやすい」というメリットがあるため、スマートデバイスの紛失や社員の退職時にもスピーディに対応することができます。リモートアクセスの頻度が高かったり、社員の退職時のセキュリティが気になったりする企業の場合は、このメリットが大きな意味を持つでしょう。

自社のネットワーク環境や必要性に応じて適切なものが選べるように、ここで解説した内容を踏まえ、さらに理解を深めていきましょう。

  • このエントリーをはてなブックマークに追加

この記事を書きました

グローバルサインブログ編集部

グローバルサインブログ編集部
所属:GMOグローバルサイン マーケティング部
当ブログの運営・管理を担当。マーケティング部=なんでも屋。
>>グローバルサインブログ編集部の記事一覧