エンジニア全般
インターネットを利用するにあたり、PKIという言葉を聞いたことがある方も多いはずです。
しかし、一体何に使用されているのかをご存知の方は案外少ないです。
PKIは現在のネットワーク界において非常に重要な役割を担っており、PKIの管理を行うことは必須事項となっているほと大切なのです。
現状ではPKIについて全く知らない状態であっても、PKIについて理解を深める機会としてください。
PKIがそもそもなんであるか、PKIとセットで登場する証明書とは一体何なのかであることを、わかりやすくご説明していきます。
PKIを理解して運用していくことで、安全なインターネット利用を目指していきましょう。
PKIとは?
現在PKIはインターネット通信を安全に行うにあたり、なくてはならない存在となっています。
通信を暗号化し、機密性を確保するのが目的ではありますが、暗号化に必要な鍵については苦手意識を持たれている方も少なくありません。
しかし、PKIをあまり意識せず利用していると思わぬセキュリティトラブルが発生しかねません。
そこで今回改めてPKIを学び、苦手を克服して安全なインターネット通信を実現させましょう。
PKIの概要
まずはそもそもPKIとは何であるかを知りましょう。
「公開鍵基盤」や「公開鍵インフラ」とも訳されるPKIですが、その実態は暗号化に使用される「公開鍵」が関係してくることを覚えておきましょう。
私たちは暗号化など気にせずインターネット通信を利用していますが、実は通信を行う際にやり取りされるデータは暗号化されています。
実際のやり取りでは「公開鍵」と「秘密鍵」を用いて暗号化と複合化を行いますが、もし接続先が本当に接続したい相手になりすまして通信を行おうとしていた場合、情報は全て筒抜けになってしまいます。
それを阻止するために誕生したのがPKIです。
PKIはCAと呼ばれる認証局が発行する証明書で身分を証明して暗号化通信を行うことにより、通信の安全性を確保したのです。
PKIの構成要素
PKIに必要となるのが「証明書」です。
インターネット上では通信相手がどこの誰なのかを判別するのが非常に困難です。
そこで必要となるのが、しかるべき場所で発行された証明書が必要になります。
CAと呼ばれる「証明書発行機関」という組織が発行したものこそ、信じられる証明書であると言えます。
ただし、一括管理を行うとCAの負担ばかりが増えてしまうので、その負担を軽減するためにRAと呼ばれる「証明書登録機関」が存在します。
RAに自らの身分を登録し、その情報が記載されている証明書をCAに発行してもらうことでPKIが成り立ちます。
ただし、いくら身分を証明できるからと言ってもそのシステムが何者かに乗っ取られてしまっては接続先は正しくともセキュリティリスクは脅かされます。
そこで、乗っ取りなどの危険な行為が発覚した場合は証明書は取り消され、CRLと呼ばれる「証明書の貼り替えリスト」に掲載されるようになっています。
PKIが重要な理由
インターネット上には個人情報はもちろんのこと、企業の重要な機密情報も飛び交っています。
これらが第三者に知られてしまうと個人の権利が損なわれることになり、簡単に盗聴できると安全にインターネットを利用することができなくなってしまいます。
最も脅威となるのがなりすましです。
一つの例では、誰もがよく知るショッピングサイトのホームページをそのまま作り上げ、URLをほんの少し変えてインターネット上に公開したとしましょう。
そうすると、一部の人たちは正規のショッピングサイトだと思い込み、クレジットカード情報などを入力します。
そしてなりすました相手は、これらの情報を盗み取るのです。
このなりすましを不可能にしているのがPKIの証明書であり、現代のインターネット利用に欠かすことのできない重要な役割を担っているのです。
PKIのメリット・デメリットとは?
PKIについてインターネットを安全に利用するには欠かせないことがご理解いただけたと思いますが、PKIのメリットとデメリットについてご紹介していきます。
インターネットを安全に利用するために様々な技術が登場しておりますが、メリットとデメリットを知った上で利用することが重要となります。
PKIのメリット
PKIを利用するメリットは、接続相手が間違いなく本物であるということが保証されることです。
もしPKIを利用しなければ毎回URLや接続先IPアドレスを確認しなければならないので、安全を確認するために大きな手間がかかってしまいます。
機密情報や個人情報を入力する際にも、正しい証明書であることが確認できれば安全に使用することが可能です。
現在は自己証明書などのCAが発行したものではない証明書を使用しているサイトに接続しようとすると警告が出るようになっています。
そのため、PKIがあることで安全にインターネットが利用できるのです。
PKIのデメリット
PKIを利用する場合のデメリットに関しては、証明書をシステムに適応させるには専門知識が必要になるということです。
サーバの操作に慣れた方であればそこまで苦ではありませんが、全くはじめての方が証明書を適応させるのには苦労することもあります。
また、検証環境と本番環境では当然割り当てられた証明書が異なるため、システムのアップデートを行う際に、検証環境ではうまく行ったが本番環境では失敗してしまうといった例もあります。
このトラブルは本番環境の証明書が古かったことにより起こったものなので、証明書の更新を行えばうまくいきますが、新しい証明書の発行には時間がかかるため注意が必要です。
PKIの活用方法4つ
PKIについてセキュリティを確保するために重要だということをご紹介してきましたが、次に実際に活用していくにはどのような方法があるのかをご紹介していきます。
利用方法を知らずにPKIだけ知っていても意味がありませんので、どのような場面で役立つかを具体的に知りましょう。
デジタル署名
重要な文章の最後に自筆でサインした書類を見たことがあるかと思いますが、PKIを活用することによってインターネット上に送信するデータにも署名することが可能になります。
「どこの誰が送ったデータか」がわかることにより、なりすましを回避してセキュリティが確保されるのです。
CAが発行した証明書がベースにあるので、通信相手が確実に何者であるかが分かった状態でデータを送受信することができます。
PKIを利用することによって、誰であるかがオフィシャルに証明されるようになることは安全にインターネットを利用する上で非常に重要であると言えます。
VPN
VPNは、本来1つのネットワークを仮想的に複数に分ける方法です。
プロジェクトによって独自に回線を作る際にもVPNが利用されるケースが多くありますが、ここにもPKIの活用はセキュリティ維持のために重要になります。
もしPKIを活用していない状態でVPN接続を行なった場合、接続しに行ったネットワークが第三者により作られた偽のネットワークだったことを考えると、セキュリティの確保は難しいでしょう。
しかし、VPNにもPKIを活用することによって、安心してその回線に接続することができるのです。
電子メールのセキュリティ強化
迷惑メールは古来から問題となってきましたが、なりすましやフィッシングサイトの誘導、さらにはウィルス添付など様々なセキュリティ問題に電子メールは関わっています。
電子メールで最も問題となるのは、「誰から送られてきたメールなのか」ということです。
PKIはデジタル署名でも説明した通り、誰であるかが保証されます。
もちろん、信頼できる相手からのメールだったとしてもパソコンが乗っ取られていた場合の危険は消えませんが、少なからず第三者がメールアドレスを偽装するという問題からは解放されます。
郵送物で考えてみると、受け取った手紙の住所と氏名は確実に記載した人である保証がありませんでしたが、PKIを利用することによって確実にその送り主からのメールであることが保証できるようになるのです。
セキュリティを必要とするウェブサービス
インターネットショッピングを利用する方も多くいらっしゃると思いますが、もしこのサイトが偽物だった場合、住所や氏名の他に、クレジットカード情報など全てが知られてしまう可能性があります。
そのため、これらのウェブサービスには接続先が本物であるという確固たる証明が必要となるのです。
そこでPKIの登場です。
「接続しているサイトに偽りはありません」という証明ができることによって、私たちは安全に個人情報を入力できるのです。
現在もフィッシングサイトの問題が後を断ちませんが、PKIを活用することによって多くの危険から回避できます。
PKIシステムを立ち上げるまでの流れ
PKIを利用するためにシステムの流れを簡単にご紹介していきます。
利用するにあたっては、まずはCAからの証明書を手に入れなければなりません。
そしてその後、サーバに証明書を適応させるというステップを経て、やっとPKIシステムが利用できるようになるのです。
具体的な作業ステップ
では具体的にPKIを導入するにあたり、必要な作業ステップを確認していきます。
大まかな流れは、下記の表の通りです。
| 作業内容 | 項目 |
| 1.サービス設計 | ・電子認証業務の基本方針を決める
・コストの確認 ・導入までのスケジュールの確認 |
| 2.運用設計 | ・証明書を発行する手順の確認とマニュアル作成
・運用体制を整える |
| 3.システム設計 | ・電子証明書システムの機能設計を確認
・セキュリティ要件の確認 |
| 4.CPSの作成 | ・証明書ポリシの設定
・認証実施規定(CPS)の策定 |
| 5.PKI適応 | ・PKIシステム構築(サーバ適応)
・検証 ・運用担当への教育 |
| 6.認証局運営 | ・システム監査による定期確認
・有効期限の確認 |
まずはPKIを導入するにあたって、どのようなスケジュールで行うか、どこに申請するのかを確認します。
CAは複数ありますので、利用しやすいCAを選択してください。
その後は手順の確認を行いますが、マニュアルの作成と証明書の有効期限を管理するための資料作成は忘れずに行いましょう。
作業者が変更となった際に円滑に運営を行うためには、マニュアルがあるのかないのかによって作業が大きく異なります。
また、証明書の有効期限が切れてしまうと期限切れとなって何者かを証明できなくなってしまうことと、新しい証明書を即時発行してもらうことはできないため注意が必要です。
その後は作成したマニュアル通りにサーバに証明書を適応し、PKIの運用がスタートします。
定期的にシステム監査によって正しく運用が行われているのかも忘れずチェックしましょう。
立ち上げる際の留意点
PKIシステムを立ち上げる際に注意が必要なことは、全従業員のセキュリティに関する意識を高めることです。
PKIがそもそも何であるのかを知らずに誤った取り扱いを行わないよう、セキュリティ教育を行い意識を高めることが有効な手段です。
また、先ほどご紹介したように期限切れや正しく証明書が適応されていない、期限が近づいているためにソフトウェアがインストールできないなどのトラブルが起こる可能性があります。
もしこのような障害が起こった際にも、事前に取るべき行動を定めておくことで迅速に行動し、被害を最小限に抑えることが可能となります。
PKIシステムを立ち上げることはそれだけのリスクもありますが、正しく運用することで安全なネット通信を行うことができるということを忘れないようにしましょう。
PKIのまとめ
様々な業務がインターネットを介して行われるようになり、ますますPKIの重要性が高まりました。
盗聴やなりすましは個人や企業に甚大な被害を及ぼすことから、その対策としてPKIは絶対に外せないセキュリティ事項となっています。
正しい運用を行うことが、安全な運用へとつながるためもし適応していない場合は早急に導入を検討してみてください。
しかし、もし万が一適応に関して不安がある場合、外注を検討してみるのも良いかもしれません。
自社のシステムが正しく設定できているか確認するだけでも、安心度は格段に上がります。
もし外注をご検討であれば、Jiteraに一度ご相談いただければ、きっとお力になれると思います。
