 |
PKIアウトソーシングサービスとして多彩なソリューションを提供
「ベリサインのマネージドPKIサービス:VeriSign OnSite」
第1回 PKI運用の新しいかたち (1)
|
| |
PKIの使用用途
|
 |
 |
いまやビジネスでインターネットを 利用することは当たり前のことになっている。 しかし、インターネットを利用するということは、 「盗聴」「改ざん」「なりすまし」といったリスクを負うことでもある。それを回避する技術として「電子署名」と
「暗号技術」などがあるが、これらを利用してネットワーク上での安全と信用を実現するための基盤が、PKIである。
このPKIの技術を用いたアプリケーションは、実は一般的によく使われている。Webショッピングサイトなどで使われるSSLや暗号化メールのS/MIMEなどがその代表例だ。
信用を大切にする企業ではWebサイトのSSL導入などは当然といえる状況になっているが、今後は社員個々人のレベルでも認証が重要になってこよう。
社員の個人認証を全社レベル導入する場合、入退社や異動などに対応して、個人認証そのものも管理する必要がある。そんな場合、PKI環境を企業内に構築すれば、社内で証明書を発行ができるため、例えば、システム管理者が新たな社員にアカウントと証明書を同時に発行することができ、効率的なPKI運用が実現できる。
これに、指紋照合などのバイオメトリクスや、ICカードなどのソリューションを組み合わせれば、さらに簡便で高いレベルのセキュリティが可能になるだろう。
しかし一方では、実際に認証局(CA:Certification Authority)の導入の方法やPKIソリューションの利用方法に関しての情報が少ないため、その利用価値が正しく理解されていないことも事実である。そこでこの記事では、PKIがいかに容易に導入することができるか、また実務に堪え得る豊富なPKIソリューションがそろっているかなどを3回に渡って紹介していきたいと思う。
●PKI導入の検討
企業でPKIを導入するためには、企業の認証局(CA)を構築する必要がある。認証局の機能は登録局(RA:Registration
Authority)と発行局(IA:Issuing Authority)があり、これらをどのような形にするか、すなわちアウトソーシングかインハウスかの議論がされることがあるだろう。また、コスト面、使用するアプリケーション、もしくは連携するシステム(VPN機器など)など運用の柔軟性を考慮して検討されるわけだが、導入までの準備期間の短さや、CAを維持管理する手間と要員の育成を考慮すると、アウトソーシングの優位性が明確になってきている。
ベリサインには、PKIのアウトソーシングサービスとして多彩なメニューを提供している「VeriSign OnSite」があり、ここではそのサービスを紹介していく。
| |
マネージドPKIサービス「VeriSign OnSite」とは
|
|
|
では、ベリサイン マネージドPKIサービスとはいったいどのようなものであるのか? それを利用することによるメリットを解説してみたい。
ベリサインのマネージドPKIサービスは、イントラネット/エクストラネット/VPN/ECアプリケーションなどの、デジタル証明書を用いたセキュリティシステムの導入に最適なコストとバリューを提供するサービスである。
このサービスは、通常PKIを導入検討する企業が非常に苦労する部分を容易に設計/構築できるよう工夫がされている。つまり、セキュリティポリシー、CAの階層構造、認証モデル、そして、証明書のライフサイクル管理などに関しては導入企業側の都合に合うようなフレキシビリティを持った設計となっているため、CAを迅速かつ低コストで構築することが可能になる。
ベリサイン マネージドPKIサービスの導入により、企業はCAとしての機能を自社に持つことができるわけだが、CA管理者および利用者の身元確認業務を行う登録局(RA)機能を企業で行い、CAシステムの運用管理およびIAの証明書発行業務はベリサインが受け持つことになる。
アウトソースCAを利用することにより、企業は迅速かつ容易にPKIを導入し、PKIバックボーンを設計/準備/運用/維持するために必要となる多くの労力とコストを節約することができるのである。CAの運用はすべてベリサインが行い、最高度の可用性とセキュリティ、および最大限の性能と拡張性を実現したCAが実現できる。
●PKI導入の目的
企業/団体におけるPKI利用の実際の目的は、Webシステムへの認証の手段として使用したり、VPN認証に使用したり、受発注システムで交換される電子データに署名を施すことであろう。このようにPKIは、単体ではセキュリティを実現するものではなくPKIソリューションを利用することにより、さまざまな機能とメリットを実現する。
PKIソリューションには、認証、完全性、秘匿性、否認防止、タイムスタンプなどの機能を提供するものがあり、導入に際しては利用目的や用途をはっきりとすることが前提である。
 |
| 図1 ベリサイン マネージドPKIサービス |
●マネージドPKIサービスの特徴
・ 認証局(CA)の機能
ベリサイン マネージドPKIサービスでは、CAの機能(CA管理者、RA)をWebベースの管理画面から操作することができ、面倒なCAの秘密鍵の管理やCAサーバへのセキュリティ設定などはベリサインがすべてを代行するため、サービス利用者が求められるオペレーションは必要最小限の項目に軽減される。
| CA管理者向け機能 |
構成管理ウィザード |
| 利用者用の登録および証明書更新画面カスタマイズ機能 |
| レポート作成機能 |
| 管理/サポート・ツール群 |
| アプリケーション統合モジュール(オプション) |
・ 企業内登録/登録局(RA)としてのマネージドPKIサービス登録機関機能
証明書の発行、失効などの機能を集中管理するコントロールセンターは、登録および認証プロセスに関する完全な制御を提供し、証明書の申請/承認/失効などライフサイクル・プロセスを容易に管理することが可能である。
マネージドPKIサービスでは、証明書申請に対する承認、失効、管理行為の監査、そして、日々の管理といった個々の RA 機能を、任意の数の特定の機能のみを担当するような管理者に分散することができる。また、管理者が操作できる業務の内容に関しても詳細な設定が行えるのが特徴である。
例えば、利用者の鍵および証明書に関して、内容の構成定義を行う者、発行承認を行う者を分散することで、セキュリティ・マネジメントにおける危険性を最低限に抑えることが可能である。
また、本サービスでは顧客に対して監査可能なセキュリティ・プラクティスに基づく強力な監査証跡および報告機能をも提供している。
●信頼モデル
公開鍵証明書は、下位の証明書を上位CA証明書の秘密鍵で署名することによって、信頼の階層構造を構築することができる。
ベリサインのマネージドPKIサービスでは、ユーザー固有のルートCA証明書の下でプライベート証明書を発行する方式と、ベリサインの持つ階層の下でパブリック証明書を発行する方式のどちらかを目的にあった形式で選択することができるのも大きな特徴である。
・各モデルの特徴
|
|
パブリックCA証明書
|
プライベートCA証明書
|
|
階
層
構
造
例
|
 |
 |
|
ル
| ト
C
A
証
明
書
|
ベリサインのClass2または、Class1のルートCA証明書(ほとんどのブラウザにバンドル済み)を利用 |
ユーザー専用のルートCA証明書を個別に作成 |
|
用
途
|
オープンなネットワーク上での電子メール(S/MIME)など |
社員証、会員証など倫理的に見て閉域なネットワーク内での利用 |
|
機
能
|
アクセスコントロール、社外(不特定間)での暗号化メール、オープンなネットワークでのEDI |
アクセスコントロール、会員間の暗号化メール、閉域なEDIなど |
|
認
証
の
レ
ベ
ル
|
ベリサインのClass2またはClass1の認証 |
ユーザーの基準 |
|
運
用
上
の
制
限
|
ベリサインのCPS(Certification Practice Statement:CA運用規程)に準拠することが必要 |
ユーザー独自 |
|
| 図2 パブリックCA証明書とプライベートCA証明書の特徴 |
- パブリックCA証明書
ベリサインがグローバルに運営している信用階層との連鎖関係を持つ証明書。独自の信頼ドメインに属さない、または信頼パスが構築できない第3者との信頼関係を、ベリサインの信用階層を経由することで実現している。当然、ベリサインのパブリックなルートの下位CAになるには、ベリサインのCAが規定する運用規定(発行時の審査、本人確認など)に準拠する必要がある。
用途としては、社外一般(不特定多数)に対するS/MIME用証明書発行などが挙げられる。
- プライベートCA証明書
PKIを利用したい組織(会社など)の独自の判断に基づいて発行される証明書。 証明書を構成するCAのツリー上に、ほかの組織と共用するCAがないことから、
その組織独自の信頼関係を利用することが可能。基本的に証明書の利用者(提示者)と信頼者は同じ信頼ドメインのエンティティ同士の信頼パスの構築が可能である。ただし、WebブラウザやWebサーバにはプライベートCAのルートは登録されていないため、改めて登録する必要がある。
用途としては、独自の認証レベルを設定して運用する閉域内での会員制サイト用証明書が挙げられる。
- 秘密鍵生成のポイント
PKIが否認防止の機能を発揮するためには、確実にその人物であることの確認を行うのが大前提であるが、それ以外に“秘密鍵は本人以外が持ち得ない”ことが必要である。
通常、鍵ペアはWebブラウザ内で生成されPCのHDD上の証明書データベースに保管される。しかし、よりセキュアに鍵管理をしたい場合にはスマートカードなどのトークンデバイスの利用が可能である。これらのデバイスを利用する利点は、携帯性に優れ、Webブラウザに比べて秘密鍵をより強固に保護できることが挙げられる。トークンデバイス上で生成された秘密鍵は、絶対にコピーしたり読み出したりすることができないため、スマートカード上の秘密鍵が取り出されて複製されることはない。
ベリサインのサービスでは基本的に利用者が鍵の生成を行うモデルを取っている。これはPKIによる否認防止を実現するためには必要な形態である。前述のように、本来、公開鍵ペアの秘密鍵は利用者以外が持ち得ないことが望ましく、利用者が自己の責任で管理すべき性質のものであるからだ。
|
VeriSign
OnSite入門(速習コース)プレゼントは
好評のうちに、すべて受け付けを終了いたしました!
|
多数の資料請求をいただき、ありがとうございました。
(プレゼント当選者の方へは、ベリサインより直接ご連絡さしあげます)
資料請求をご希望の方は<こちら>へどうぞ
|
|
|
![@IT[FYI]](/ad/adindex/image/fyi_logo_s.gif){kind=logo}
