インターネット・イントラネットを単なる情報共有としてではなく、業務アプリケーションを含めた情報システムとして活用したいというニーズが高まっています。それに伴い、扱う情報の高度化に対応したセキュリティの確保が求められています。セキュリティに対する脅威には、第三者によるデータの盗聴や改ざん、および不正な成り済ましなどがあり、これらからシステムを守るために、PKI製品が必要となります。
国際標準X.509に準拠した証明書を利用して、メッセージの暗号化機能、デジタル署名機能、および認証機能によってセキュリティを確保しています。
RA(登録局)と連携し、より柔軟な認証局構成と運用を可能にします。
また、ハードウェア暗号装置の利用によって、最高レベルのセキュリティを確保することができます。
RFC(Request For Comments)の発行など、インターネット技術の標準化を行っている団体IETF(Internet Engineering Task Force)のワーキンググループの一つ「Public Key Infrastracture X.509Working Group」をPKIXと呼びます。
ここでは公開鍵認証基盤技術に関して、証明書の設定項目や利用形態、証明書を利用した通信のプロトコルなどが標準化されています。
FIPS(Federal Information Processing Standard)は、米国の情報処理に関する規格で、その中の140は暗号モジュールのセキュリティに関する規格です。いくつかのレベルがあります。当社が対応しているハードウェア暗号装置(nCipher社製 nShield Hardware Security Module for PKI)は、耐タンパ性・アクセスコントロールなどに対応したレベル3相当を実現しています。
PKCS#11を使った暗号化サービスを管理するプログラムのことです。
PKCSは公開鍵暗号化標準(Public Key Cryptography Standards)と呼ばれる規格群のことをいいます。その中でも、PKCS#11は、ICカードなどの携帯暗号デバイスのために、Cryptokiと呼ばれるAPIを定義する規格のことです。
当社のPKIでは、PKCS#11モジュールを搭載したICカードやハードウェア暗号装置を、ユーザー認証に利用できます。
情報技術を用いた製品やシステムがセキュリティに関する品質を備えているかどうかを、客観的に評価するための国際基準です。別名「CC(Common Criteria)」ともいいます。
日立のPKIでは、Enterprise Certificate Server、PKI Runtime Library、Keymate/Crypto の構成で、EAL3レベルの認証を取得しました。EAL3は、製品の設計だけでなく、開発、出荷までの過程でセキュリティが守られていることが評価されるため、大変高いレベルと言われています。(EAL3: Evaluation Assurance Level 3/評価保証レベル)
PKI製品は「外国為替及び外国貿易法並びに米国の輸出管理関連法規」の規制対象製品を含みますので、輸出(海外持ち出しを含む)の際には手続きが必要になります。
インターネット経由で通信する場合、公開鍵を送ってきた相手が、名乗った本人か、成りすました別人かを確認する必要があります。 公開鍵はだれでも作成できるためです。証明書とは、認証局という公の信頼できる機関が、ユーザーの作成した公開鍵にデジタル署名したバイナリデータです。
信頼できる認証局が証明した公開鍵を利用すれば、安心してメッセージを暗号化し送信できます。
共通鍵暗号は、暗号と復号を同じ一つの鍵で行うため、鍵自身を通信相手に送る手段が問題でした。 鍵を盗聴されると、メッセージも盗聴されるためです。
これに対し、公開鍵暗号は、本人しか知らない「秘密鍵」と、だれにでも公開する「公開鍵」のセットを使う暗号方式で、暗号化と復号化に別の鍵を用いることが 特徴です。
そのため、送信者と受信者で同じ鍵を秘密で分け合う必要がありません。
デジタル署名とは、一般的に行われている文書への署名を、電子的に行うものです。
デジタル署名を付けることによって、文書の改ざんを検証できます。検証の方法は次のとおりです。
公開鍵でハッシュ値を復号化することによって、署名者を特定することができます。また、署名者の秘密鍵でハッシュ値を暗号化するため、他人が偽造できません。
S/MIME(Secure / Multipurpose Internet Mail Extensions)は、PKIの仕組みを利用して、電子メールのメール本体に対する暗号処理と、メールに対するデジタル署名をできるようにした規格です。電子メールの標準の規格であるMIMEがベースになっています。
SSL(Secure Sockets Layer)は、PKIの仕組みを利用して、通信相手の認証と通信路の暗号化を行うための通信プロトコルです。
WebサーバとWebブラウザ間の通信に広く利用されています。
2001年4月1日に施行された「電子署名及び認証業務に関する法律」のことをいいます。電子署名を行った電子文書(契約書)を紙の契約書と同様に扱うという内容です。ただし、電子署名を行った本人の意思に基づいて電子文書が作成されていることが必要になります。
また、電子署名を行った本人を証明するための電子証明書の発行に関して適切な管理を行っている事業者を認定する特定認証業務の認定制度も同時にスタートしました。これは、電子署名を使用するにあたっての利用者の目安となるもので、認証をうけるかどうかは業者の自由になります。
日立が提供するPKIは、特定認証業務の認定を受けた認証局で使用されています。
どちらもメリット・デメリットがあり一概にはいえません。お客様の状況に応じて、最適な方法をお選びください。
独自ブランドの証明書の発行を行いたい、または証明書の発行規模が大きい場合にお勧めです。
PKIシステムを運用するのに必要な資産管理やシステム運用を外部にまかせたい、または早急にPKIシステムを導入したい場合にお勧めです。
認証局の管理者は次に示すことを行う必要があります。
これらの管理業務を代行するサービスをご提供していますので、ぜひご利用ください。
ICカードを使用すると、ほかの媒体に比べて次の点でメリットがあります。