儀間 隆夫 日本ボルチモアテクノロジーズ 技術本部 E&Tグループ コンサルタント
PKIの導入形態は,ディジタル証明書を発行するCA(認証局)を,外部の機関に任せるか,自社内に構築するかで大きく異なります。CAを自社で構築する場合,信頼性を高めるために,運用規定などを内外から検証可能にすることが重要になってきます。
前回は,PKI(public key infrastructure)の概要と,このインフラを使ったディジタル証明書の仕組みを説明しました。今回はディジタル証明書を交付する二つの形態であるTTP(第三者認証機関)の利用とプライベートCAの構築について,それぞれの導入ポイントを解説します。どちらの形態も,PKI導入の根幹である信頼性をどうやって確保するかがポイントになります。
TTP利用では自社審査が主流
TTPの利用に関しては,ディジタル証明書の発行を求める申請者をだれが「審査」するのかが重要な問題になります。ここでいう審査とは,申請者が本人であるかを確認したり,申請者から提供を受けた情報を基に証明書を発行するかどうかを判断する作業です。証明書をビジネスに利用する企業自身が審査する場合と,証明書を発行する立場であるTTPが審査する場合に分かれます。
|
| 図1 TTP(第三者認証機関)利用の二つの形態TTPを利用する場合,証明書を必要とする申請者を企業が審査した後でTTPに証明書の発行を依頼する形態(左)と,申請者がTTPに証明書の発行を直接依頼する形態(右)――がある。ビジネス用途で証明書を使用する場合は,左の形態を利用するのが一般的である。 |
TTPが審査する方式では,申請者が直接TTPに証明書発行にかかわる審査を依頼します。この場合申請者は,TTPのブランドで発行された証明書を受け取ります。例えば,SSLでサーバー認証を使用する場合,Webサーバーの所有者は,一般にこうした手段で証明書を手に入れます。
ビジネス用途で証明書を利用する企業にとっては,審査をTTPに任せるよりも,取引先を自分で審査する方が確実です。このため,証明書の発行だけをTTPに依頼し,取引先などを企業自身が審査する方法が一般的です。ここでは,この方式について説明します。
TTPの検証は導入する企業の義務
まず重要になるのが,ディジタル証明書を発行するTTPの検証です。ディジタル証明書はネットワーク上の身分証明書に当たるものです。これを発行するTTPが十分に信頼できるかどうかを調査し,判断することは,証明書を利用する企業の義務といえます。
現在国内にある主なTTPには,サイバートラスト(7月から日本ボルチモアテクノロジーズ),日本認証サービス,日本ベリサインの三つがあります。今後新たに認証サービスを提供する企業が増える可能性がありますので,TTPを利用する前に,(1)財務状況や経営基盤,(2)TTPやその母体企業の中立性,(3)社会的信頼度――などを確認しておくことが重要です。
例えば,財務体質が不健全で倒産の危険性のあるTTPの証明書は,倒産したときの有効性やその後の取り扱いが不透明なため,安心して利用できません。さらに証明書を受け取る申請者からすれば,証明書を発行するTTPの社会的信頼度を,取引先を選択する基準として使う場合もあります。
TTPの運用規定にも目を配る
さらにTTPの運営についても確認しておく必要があります。こうした運営内容は,TTPがWebなどで公開しているCPS(certification practice statement:認証局運用規定)を入手することで確認できます。この中には,TTPの運用の考え方だけでなく,施設面の安全性なども記述してあります。
TTPの安全性は,施設や運用体制に大きく左右されます。TTPの中には,万が一のトラブルに備えて,自家発電設備やハードウエアの2重化を用意したり,作業ローテーションを実施してシステム・オペレータの不正行為を防止しているものがあります。CPSを確認すれば,こうしたTTPの運用体制をチェックできます。
CPSには,証明書の用途やセキュリティ・レベル,証明書に記載可能な情報の種類なども記述してあります。そのため,そのTTPで自社のサービスに必要な証明書が発行可能かどうかを判断できます。
ただし,TTPを判断する際には,証明書の項目のうちTTPが独自に拡張した項目を確認したり,審査には必要でも生年月日や住所などプライバシー上の問題から証明書に記載しない項目を取捨選択する必要があります。このため,TTPからのアドバイスは不可欠です。
