ページの本文へ

Hitachi
お問い合わせお問い合わせ

公開鍵認証基盤 PKI:FAQ

PKI製品について

Q1. なぜ、PKI製品が必要なのですか。

インターネット・イントラネットを単なる情報共有としてではなく、業務アプリケーションを含めた情報システムとして活用したいというニーズが高まっています。それに伴い、扱う情報の高度化に対応したセキュリティの確保が求められています。セキュリティに対する脅威には、第三者によるデータの盗聴や改ざん、および不正な成り済ましなどがあり、これらからシステムを守るために、PKI製品が必要となります。

Q2. PKI製品はどのようにしてセキュリティを確保するのですか。

国際標準X.509に準拠した証明書を利用して、メッセージの暗号化機能、デジタル署名機能、および認証機能によってセキュリティを確保しています。

Q3. PKI製品を導入するメリットは何ですか。

  • インターネットを専用線と同等のセキュリティで利用できます。
  • 公開鍵暗号技術によって、容易にセキュリティ環境を構築することができます。
  • 認証サーバが発行した証明書単位の認証のため、ハードウェア(PC)だけでなく、利用者そのものを認証できます。そのため、人事異動などに柔軟に対応でき、各組織のポリシーに合った運用ができます。
    また、証明書発行会社に依頼する場合に比べ、審査のためのドキュメントや申請書類などを作成する必要がありません。
  • 下位のネットワーク(TCP/IPやIIOPなど)に依存しないでセキュリティを確保できます。
  • Webブラウザ−サーバ間のSSL(Secure Socket Layer)や、電子メールのS/MIMEといった標準のセキュリティに加え、PKI Runtime Libraryでは、既存の様々なクライアント−サーバアプリケーションに対し、共通のセキュリティ機能を付加できます。

Q4. PKI製品は、SSL認証サーバとどこが違うのですか。

RA(登録局)と連携し、より柔軟な認証局構成と運用を可能にします。
また、ハードウェア暗号装置の利用によって、最高レベルのセキュリティを確保することができます。

Q5. IETF-PKIX標準とは何ですか。

RFC(Request For Comments)の発行など、インターネット技術の標準化を行っている団体IETF(Internet Engineering Task Force)のワーキンググループの一つ「Public Key Infrastracture X.509Working Group」をPKIXと呼びます。
ここでは公開鍵認証基盤技術に関して、証明書の設定項目や利用形態、証明書を利用した通信のプロトコルなどが標準化されています。

Q6. FIPS 140とは何ですか。

FIPS(Federal Information Processing Standard)は、米国の情報処理に関する規格で、その中の140は暗号モジュールのセキュリティに関する規格です。いくつかのレベルがあります。当社が対応しているハードウェア暗号装置(nCipher社製 nShield Hardware Security Module for PKI)は、耐タンパ性・アクセスコントロールなどに対応したレベル3相当を実現しています。

Q7. PKCS#11モジュールとは何ですか。

PKCS#11を使った暗号化サービスを管理するプログラムのことです。
PKCSは公開鍵暗号化標準(Public Key Cryptography Standards)と呼ばれる規格群のことをいいます。その中でも、PKCS#11は、ICカードなどの携帯暗号デバイスのために、Cryptokiと呼ばれるAPIを定義する規格のことです。
当社のPKIでは、PKCS#11モジュールを搭載したICカードやハードウェア暗号装置を、ユーザー認証に利用できます。

Q8. ISO/IEC 15408とは何ですか?

情報技術を用いた製品やシステムがセキュリティに関する品質を備えているかどうかを、客観的に評価するための国際基準です。別名「CC(Common Criteria)」ともいいます。
日立のPKIでは、Enterprise Certificate Server、PKI Runtime Library、Keymate/Crypto の構成で、EAL3レベルの認証を取得しました。EAL3は、製品の設計だけでなく、開発、出荷までの過程でセキュリティが守られていることが評価されるため、大変高いレベルと言われています。(EAL3: Evaluation Assurance Level 3/評価保証レベル)

Q9. 輸出することはできますか。

PKI製品は「外国為替及び外国貿易法並びに米国の輸出管理関連法規」の規制対象製品を含みますので、輸出(海外持ち出しを含む)の際には手続きが必要になります。

セキュリティを確保する仕組みについて

Q1. 証明書とは何ですか?

インターネット経由で通信する場合、公開鍵を送ってきた相手が、名乗った本人か、成りすました別人かを確認する必要があります。 公開鍵はだれでも作成できるためです。証明書とは、認証局という公の信頼できる機関が、ユーザーの作成した公開鍵にデジタル署名したバイナリデータです。
信頼できる認証局が証明した公開鍵を利用すれば、安心してメッセージを暗号化し送信できます。

Q2. 公開鍵暗号技術とは何ですか?

共通鍵暗号は、暗号と復号を同じ一つの鍵で行うため、鍵自身を通信相手に送る手段が問題でした。 鍵を盗聴されると、メッセージも盗聴されるためです。
これに対し、公開鍵暗号は、本人しか知らない「秘密鍵」と、だれにでも公開する「公開鍵」のセットを使う暗号方式で、暗号化と復号化に別の鍵を用いることが 特徴です。
そのため、送信者と受信者で同じ鍵を秘密で分け合う必要がありません。

Q3. デジタル署名とは何ですか?

デジタル署名とは、一般的に行われている文書への署名を、電子的に行うものです。
デジタル署名を付けることによって、文書の改ざんを検証できます。検証の方法は次のとおりです。

  1. 署名する文書の特徴を抽出したハッシュ値を署名者の秘密鍵で暗号化します。
  2. この暗号化したハッシュ値を文書と一緒に通信相手に送信します。
  3. 受信者は、署名者の公開鍵で、暗号化されたハッシュ値を復号化します。
  4. それを受信した文書から抽出したハッシュ値と比較します。
  5. 両方のハッシュ値が一致すれば、文書が改ざんされていないことが検証できます。

公開鍵でハッシュ値を復号化することによって、署名者を特定することができます。また、署名者の秘密鍵でハッシュ値を暗号化するため、他人が偽造できません。

Q4. S/MIMEとは何ですか?

S/MIME(Secure / Multipurpose Internet Mail Extensions)は、PKIの仕組みを利用して、電子メールのメール本体に対する暗号処理と、メールに対するデジタル署名をできるようにした規格です。電子メールの標準の規格であるMIMEがベースになっています。

Q5. SSLとは何ですか?

SSL(Secure Sockets Layer)は、PKIの仕組みを利用して、通信相手の認証と通信路の暗号化を行うための通信プロトコルです。
WebサーバとWebブラウザ間の通信に広く利用されています。

Q6. 電子署名法とは何ですか?

2001年4月1日に施行された「電子署名及び認証業務に関する法律」のことをいいます。電子署名を行った電子文書(契約書)を紙の契約書と同様に扱うという内容です。ただし、電子署名を行った本人の意思に基づいて電子文書が作成されていることが必要になります。
また、電子署名を行った本人を証明するための電子証明書の発行に関して適切な管理を行っている事業者を認定する特定認証業務の認定制度も同時にスタートしました。これは、電子署名を使用するにあたっての利用者の目安となるもので、認証をうけるかどうかは業者の自由になります。
日立が提供するPKIは、特定認証業務の認定を受けた認証局で使用されています。

PKIの構築・運用について

Q1. 組織内で認証局を運用する(プライベート)方法と、認証局事業者を利用する(アウトソーシング)方法とはどちらがよいですか?

どちらもメリット・デメリットがあり一概にはいえません。お客様の状況に応じて、最適な方法をお選びください。

組織内で認証局を運用する(プライベート)方法

独自ブランドの証明書の発行を行いたい、または証明書の発行規模が大きい場合にお勧めです。

メリット

  • 認証局のセキュリティが高まります。
    • 組織内に構築することで、認証局を無条件に信頼できます。
    • 顧客や社員の情報を外部にもらさずにすみます。
  • 業務の実状にあった柔軟な運用ができます。
    • 証明書情報を独自に設定できます。
      基本領域・拡張領域の設定、有効期限の設定などを独自にできます。
    • リポジトリなどの既存の資産を利用できます。
      既存の人事データーベースを利用して、証明書を自動的に一括発行できます。

デメリット

  • 導入時に費用がかかります。
    • ハードウェア・ソフトウェアの費用
    • 運用手順・認証ポリシー(CPS)の作成費用
  • 認証局を組織内で運用する必要があります。

認証局事業者を利用する(アウトソーシング)方法

PKIシステムを運用するのに必要な資産管理やシステム運用を外部にまかせたい、または早急にPKIシステムを導入したい場合にお勧めです。

メリット

  • 認証局の信頼性についての責任を分担できます。
  • PKIシステムを短期間で導入できます。
    事業者の用意する定型的なメニューを選択する場合は、短い時間でPKIシステムを導入できます。
  • 組織内で認証局を運用しなくても、PKIシステムを利用できます。

デメリット

  • ランニングコストがかかります。
    • 証明書の発行に関する費用
      証明書発行枚数や、有効期限、用途に応じた料金
      有効期限切れに伴う更新料金
    • セキュリティの確保に関する費用
      常に事業者の信用度を検証する必要があります。
      また、顧客や社員の情報を外部にもらすことになりますので、情報の漏えいを防止するための負担がかかります
  • 証明書の運用が限定されます。
    事業者が用意する定型的なメニューで運用する場合、独自の運用はできません。

Q2. 認証局を管理するには、どのようなことを行えばよいですか?

認証局の管理者は次に示すことを行う必要があります。

証明書の更新
ユーザーに発行する証明書には有効期限があります。そのため、証明書の更新を行う必要があります。
認証局の鍵・証明書の更新
認証局自身の鍵や証明書にも有効期限があるので、一定期間での更新が必要です。
CRLの作成
失効した証明書が発生した場合にはCRLを作成します。
証明書の再発行
証明書に格納されている情報に変更があった場合、また、証明書をなくしたユーザーがいた場合、証明書を再発行します。
認証局の管理
認証局を第三者に不正アクセスされないように常にガードしておく必要があります。

これらの管理業務を代行するサービスをご提供していますので、ぜひご利用ください。

Q3. ICカードを使用するメリットは何ですか?

ICカードを使用すると、ほかの媒体に比べて次の点でメリットがあります。

成り済まし・盗聴を困難にします。
ICカードを持つ本人だけが暗号化されたデータを参照できます。
可搬性が高まります。
持ち歩きがしやすいので、モバイルPCなどのデータを保護できます。
高い耐タンパ性があります。
ICカードにアクセスするためのパスワードを何回か間違えると、ICカード自体を閉塞します(使えなくします)。そのため、ほかの媒体に比べてパスワードが漏えいする可能性が低くなります。
* 耐タンパ性:外部からの攻撃に強いこと