クライアント証明書とは?
SSLサーバ証明書をはじめとする電子証明書の一種です。SSLはサーバ(つまりウェブサイト)に利用しますが、クライアント証明書はその名の通りクライアント(ユーザのPC等)に利用します。
クライアント証明書ってどういう時に使うの?
特定PCからのみシステムへアクセスを許可するアクセス制御、ログイン時にID/Passと組み合わせる二要素認証、メールソフトに利用して送信者の証明と内容の暗号化などに利用できます。
アクセスセキュリティ
なぜアクセスセキュリティにクライアント証明書が必要なの?
情報セキュリティの強化が求められる現在、ID・パスワードだけでセキュリティを維持することは万全な施策とは言えません。また多くのID・パスワードの発行には、煩雑な手続きや管理が伴います。クライアント証明書は情報保護の強化・経費削減・業務効率化・不在アクセス防止などセキュリティを確保しながら、利便性の追求が可能なのです。クライアント証明書が実装されていない場合
クライアント証明書が実装されている場合
クライアント証明書が生まれた背景
情報システムやインターネットは、いまや企業や組織の運営に欠かせないものです。しかし、インターネットなどの利便性と引き換えにセキュリティ上でのリスクは年々増加しています。
- 顧客情報の漏えいによる企業ブランドイメージの失墜
- 機密情報の流出による競争力の低下
- システム停止による業務停止や損失拡大
- なりすましや改ざんによる詐欺被害や信頼度の低下
一方、「働き方改革」という国全体の課題にもある通り、在宅勤務(テレワーク)、非常時や外出先にモバイルデバイスでアクセスできるようにするなどの柔軟性・利便性の追求も同時に求められる時代にあります。そういった背景のなか、システムへのアクセス元、メールの送信元として、個人のデバイスを証明・認証する「身分証明書」のような役割としてクライアント証明書が大きな役割を果たしているのです。
組織が抱える情報漏えいのリスクを防ぐことができます
ID/Passの使いまわしやブラウザ保存、社外からのアクセス、PCやID/Passの紛失・盗難、BYOD(私物デバイス)アクセスなど、組織は潜在的に多くの情報漏えいのリスクを抱えています。
ID/Passの使いまわし・ブラウザ保存
外出先からのアクセス・BYOD
ID/Passやデバイス自体の紛失
アクセスセキュリティ強化の重要性は年々増してきているんだな
それだけでなく、利便性が向上して業務効率化もできるんだよ
お、クライアント証明について話しているのか?でもクライアント証明書は「メールセキュリティ」にも利用できることは知っているかな?
メールセキュリティ?
メールセキュリティ
なぜメールセキュリティにクライアント証明書が便利なの?
「情報セキュリティ10大脅威 2022」(組織)※
| 順位 | 内容 |
|---|---|
| 1位 | ランサムウェアによる被害 |
| 2位 | 標的型攻撃による機密情報の窃取 |
| 3位 | サプライチェーンの弱点を悪用した攻撃 |
| 4位 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
| 5位 | 内部不正による情報漏えい |
| 6位 | 脆弱性対策情報の公開に伴う悪用増加 |
| 7位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
| 8位 | ビジネスメール詐欺による金銭被害 |
| 9位 | 予期せぬIT基盤の障害に伴う業務停止 |
| 10位 | 不注意による情報漏えい等の被害 |
クライアント証明書は盗聴や「フィッシング詐欺」の被害を防止します
クライアント証明書が実装されていない場合
クライアント証明書が実装されている場合
でも、導入や管理をする担当者は大変そうよね・・・
社員の数だけクライアント証明書を申し込み・発行・受取・配布する場合は特にそうだよな・・・
大丈夫、事前に必要枚数分を申し込みして、あとはすべてクラウド型で自社運用できるサービスもあるんだよ
クライアント証明書は運用も便利でカンタン
クライアント証明書のベンダーはASP/SaaS型(クラウド型)のクライアント証明書運営サービスを提供しているのが一般的です。つまり必要な枚数(ライセンス数)を取得すれば、あとは管理者がログインして自由に証明書の発行、失効、メールでの配布が可能です。
よくあるご質問
Q. 導入までにどのくらいの時間がかかりますか?
A. アクセスセキュリティに利用する場合はアクセスするシステム、メールセキュリティに利用する場合はメールソフトで動作するかどうかの事前調査・検証が必要です。アカウント作成と、申し込みされたクライアント証明書の納品は1週間程度が一般的です。
Q. 自社での導入が可能か否かを事前にシステム検証したいのですが?
A. ベンダー各社が無料トライアルを受け付けている場合があります。詳細は各ベンダーにお問い合わせください。
Q. 各社員のPCとスマホに導入したい場合、1人2枚必要ですか?
A. クライアント証明書はコピーして利用可能ですので、1人1枚用意して、その社員のPCとスマホに同じものをインストールすることができます。ただしセキュリティの観点から、全社員や、部署内の全スタッフで1枚のクライアント証明書をコピーして利用するのはお勧めしません。
Q. 万が一、クライアント証明書またはそれをインストールしたデバイスごと紛失した場合は?
A. 管理者が即座にそのクライアント証明書だけ失効できます。失効することによって、そのクライアント証明書は利用できなくなりますので、悪意のある人に拾われた場合などの二次被害のリスクもなく、安心です。
Q. 実際にどのくらい費用がかかるのですか?
A. ご利用予定のベンダーによりますが、1枚1年5,000円〜10,000円です。
情報セキュリティは今や経営課題の一つ
- 顧客サービスの一環
- セキュリティ強化のアピール
- 企業のブランドイメージ向上
クライアント証明書の導入・設定の流れ
STEP1
事前準備
必要書類を準備します。STEP2
ライセンスお申し込み
必要なライセンス数(枚数)を申し込みします。STEP3
審査
クライアント証明書ベンダーにて審査いたします。STEP4
ライセンス発効
クラウド上の管理画面からお客様ご自身で、証明書の発行や配布が可能になります。
