クライアント証明書とは?
必要性や仕組みを解説
クライアント証明書とは、個人や組織を認証し発行される電子証明書のことです。基本的な仕組みや役割について解説します。
- GMOグローバルサイン
- マネージドPKI Lite byGMO
- クライアント証明書とは
なぜクライアント証明書が必要なのか?
近年は、インターネットを介した情報システムの利用や電子メールの送受信など、企業や組織の業務の利便性が向上されるのと引き換えに、セキュリティリスクは年々増大しています。
情報漏洩による企業ブランドの失墜
機密情報の流出による競争力低下
システム停止による業務停止や損失拡大
なりすましや改ざんによる詐欺被害
一方で「働き方改革」による労働環境の変化で、在宅勤務(テレワーク)の普及が進み、さらに外出先での業務ではモバイルデバイスでアクセスできるようにするなどの、柔軟性・利便性の追求も同時に求められる時代にあります。
そういった背景もあり、システムへのアクセス元やメールの送信元として使用するデバイスを証明・認証し、組織の情報セキュリティ強化と柔軟性・利便性の両立を実現する仕組みとして、様々な組織で活用されているのが『クライアント証明書』です。
クライアント証明書とは?
クライアント証明書とは、個人や組織を認証し発行される電子証明書のことです。
SSLサーバ証明書がサーバにインストールされ、ウェブサイトの所有者の実在性を認証するのに対し、クライアント証明書は、システムやサービス、メールを利用するユーザのデバイスに証明書をインストールし、そのユーザが正規の利用者であることを認証します。いわば運転免許証やパスポートのような身分証明書を想像すると理解しやすいです。
クライアント証明書でできること
ID・パスワードの使い回しによる情報漏えいリスクからの脱却
組織において、従来のID・パスワードのみでの運用は、管理が面倒でついメモ書きやウェブブラウザに残してしまうなど、情報漏えいのリスクに対しては万全とは言えません。
ログインする必要のあるシステムが増えれば増えるほど、覚えなければならないパスワードが増えるため、管理が面倒になってついメモに残したり、ウェブブラウザに記録させるなど、
情報漏えいのリスクが高まるだけです。
しかし、重要システムへのログインとしてID・パスワードを省略し、デバイスにインストールされたクライアント証明書を用いることで、不正なログインや覚えなければならないパスワードが削減され、安全性と利便性向上の両立が実現します。
また、ID・パスワードとクライアント証明書を組み合わせた二要素認証を用いることで、さらに情報システムへのセキュリティが強化されます。
【企業セキュリティ物語2】ID・パスワードのみのアクセスは最アクデス の巻
外出時や在宅での業務におけるリスク排除とスマートデバイスの活用
社内から業務用のデバイスを持ち出して外出先や自宅を行う際に、ID・パスワードの認証だけで簡単に誰でも社内システムへアクセスできてしまっては情報漏えいのリスクが高まります。
また、利用規程やセキュリティ対策が行き届いていない場合、業務メールの転送や機密情報も含む業務データの保有、私物端末からも企業内のシステムに簡単にアクセスできてしまうなど、さらにリスクが高まります。
しかし、業務用のデバイスにクライアント証明書をインストールしておくことで、利便性を損なうことなく社外からのアクセスの安全性が維持され、社内での業務と同じような安全性と利便性向上の両立が実現します。
またモバイルデバイスや私物端末の業務利用 (BYOD : Bring Your Own Device)においては、MDM(モバイルデバイス管理)との連携で、証明書(発行・失効等)管理とモバイルデバイスの物理的管理を統合を行うことで、安全性と利便性の向上のみならず、
デバイス購入のためのコスト削減や生産性向上が実現します。
【企業セキュリティ物語3】アクセス制御なしにサクセスなし! の巻
電子メールのなりすましや盗聴によるリスクの削減
インターネット上で送受信されるメールの内容を、第三者に覗き見られる「盗聴」による情報漏えいや、送信主を偽装したメールを送信してパスワードを入力させるようなウェブサイトへ誘導する「フィッシング詐欺」など、電子メールに関わる問題が後を絶ちません。
S/MIMEと呼ばれる仕組みを用いた電子証明書で電子メールへ電子署名や暗号化を行うことにより、受信者は証明書情報から送信元を確認することができます。なりすましの防止や改ざんを検知し、フィッシング詐欺対策として利用されています。
【企業セキュリティ物語1】サインがないのは悪意のサイン の巻
クライアント認証の仕組み
アクセスセキュリティ
クライアント証明書がインストールされた=許可されたデバイスからのみアクセスを許す環境の構築が可能です。
アクセスセキュリティに用いられる電子証明書は、主に「IEEE802.1X認証」に利用されています。IEEE802.1X認証は、IEEE(米国電気電子協会)が定めた規格で、組織内ネットワークで認証されていないクライアントからの接続を遮断し、
認証されているユーザのみ接続を許可するといったことが可能です。
VPN接続の認証に用いられるクライアント証明書
VPNには「IPsec-VPN」と「SSL-VPN」の2種類があり、「SSL-VPN」については比較的簡単で低コストのため導入しやすく、SSL-VPNの証明書認証としてクライアント証明書と組み合わせて利用できます。 共有ネットワークが他のユーザと共有していると、外出先や出張先から組織内ネットワークにリモートアクセスする場合、他のユーザも簡単に進入できる状態であれば、簡単に不正アクセスされてしまいます。 これを防ぐには、VPNと呼ばれるインターネット上に作られた仮想的な専用ネットワークを用いて、アクセス元の強固な認証を行い、通信経路を暗号化することで不正アクセスを防ぎ、社内の重要なシステムとデータを守ります。
クライアント証明書の主な利用用途
社外からの安全なリモートアクセス
在宅勤務や出張先での作業など、組織のシステムがある建物外からのリモートアクセス時に、クライアント証明書をインストールしたデバイスのみアクセスを許可します。
BCP(事業継続計画書)対策
災害時などで出勤できない社員が、自宅からでも継続して安全にリモートアクセスができるように、予め私物のデバイスにクライアント証明書をインストールして準備します。
サービス資料・導入事例資料・技術解説資料を配布中!
本サービスのカタログや導入されたお客様のインタビューを記載した導入事例資料、技術解説資料(クライアント証明書・S/MIME・二要素認証)をPDFでご用意いたしました。
マネージドPKI Lite byGMO
初期費用・年間保守費無料、クライアント証明書の一括管理が可能なSaaS型CAソリューションです。多要素認証を義務付けられるSalesforce等重要なシステムへのアクセス制限強化や、メールへの電子署名など、組織の情報セキュリティ対策に対応。専用の管理画面では、自社のシステムに合わせたクライアント証明書の運用が可能になります。
Certificate Automation Manager
証明書の発行・更新・インストールの自動化を実現するエンタープライズ向けサービスです。IT管理者側は証明書運用に伴う負担やセキュリティ負荷が削減され、ユーザー側は更新の手間などを意識することなく証明書を利用することが可能です。証明書はアクセス認証や電子メールへの署名のほか、サーバセキュリティにも対応しております。