公開鍵基盤|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. 公開鍵基盤
             

公開鍵基盤

公開鍵基盤(PKI:Public Key Infrastructure)とは、公開鍵暗号技術を用いてデジタル証明書の発行や管理、検証を行う仕組みのことです。PKIの目的は、インターネット上や企業内ネットワークなどの安全な通信やデータの認証を確保することで、主に暗号化通信デジタル署名の基盤として利用されます。具体的には、電子メール、Webサーバー、VPN、コード署名など、さまざまなセキュリティサービスで使用されています。

PKIでは、デジタル証明書や公開鍵、秘密鍵を使用してデータの改ざんや偽造を防ぎ、信頼できる通信環境を実現します。信頼できる第三者機関である認証局(CA:Certificate Authority)がデジタル証明書を発行し、証明書の信頼性を担保するため、ユーザーやシステムは相互に認証しながら安全に通信を行えます。

PKIの仕組み

PKIの基本的な仕組みは、次のように構成されます。

  1. 公開鍵と秘密鍵の生成
    通信を行う双方が、自身の公開鍵と秘密鍵のペアを生成します。公開鍵は他者に公開されますが、秘密鍵は厳重に保管され、公開されることはありません。
  2. デジタル証明書の発行
    認証局(CA)が、申請者の公開鍵とその所有者情報を検証し、デジタル証明書を発行します。デジタル証明書には、申請者の公開鍵、所有者の名前、有効期間、CAの署名などが含まれています。
  3. 公開鍵の配布
    デジタル証明書を通じて公開鍵が配布され、相手側が認証局を信頼することで、公開鍵が真正なものであると確認できます。
  4. 暗号化通信とデジタル署名
    PKIを使って通信を行う際には、データの暗号化やデジタル署名に公開鍵と秘密鍵のペアが使用されます。受信者は公開鍵を使ってデジタル署名を検証し、送信者が真正であるかを確認します。
  5. 証明書の失効管理
    PKIでは、証明書の失効も重要な要素です。証明書の有効期限が切れたり、秘密鍵が流出した場合、認証局は証明書失効リスト(CRL)を発行して、利用者が失効した証明書を検出できるようにします。

PKIの主な構成要素

PKIは複数の要素から構成されています。以下はその主要な構成要素です。

1. 認証局(CA:Certificate Authority)

認証局は、デジタル証明書を発行する機関です。CAは公開鍵の所有者の身元を確認し、信頼できるデジタル証明書を発行・管理します。例えば、SSL証明書やメール証明書の発行もCAが行い、インターネット上での信頼性を確保しています。

2. 登録局(RA:Registration Authority)

登録局は、申請者の情報を検証する役割を担います。RAは、CAに代わり証明書の申請者の身元確認を行い、その結果に基づいてCAがデジタル証明書を発行します。

3. デジタル証明書

デジタル証明書は、公開鍵が本人に帰属することを証明する電子的な文書です。証明書には公開鍵、所有者情報、有効期間、CAのデジタル署名が含まれ、通信の際に信頼性を確保します。PKIで使われる証明書の形式としては、X.509証明書が一般的です。

4. 鍵ペア(公開鍵と秘密鍵)

PKIでは、公開鍵と秘密鍵のペアが重要です。公開鍵は他者に配布しても安全ですが、秘密鍵は安全な場所に保管され、他人には絶対に公開されません。公開鍵で暗号化されたデータは、対応する秘密鍵でのみ復号可能です。

5. 証明書失効リスト(CRL:Certificate Revocation List)

失効したデジタル証明書のリストです。証明書が有効期間を過ぎたり、秘密鍵が漏洩した場合、証明書を取り消す必要があり、CAはこの情報をCRLとして公開します。また、OCSP(Online Certificate Status Protocol)と呼ばれるリアルタイムで証明書の状態を確認できるプロトコルも利用されます。

PKIの利用例

PKIは、さまざまな分野で利用されています。主な利用例には以下のようなものがあります。

1. SSL/TLS(Webサイトの暗号化)

WebサイトでPKIを利用したSSL/TLS証明書を導入することで、ブラウザとサーバー間の通信を暗号化し、盗聴や改ざんから保護します。SSL証明書はCAが発行し、訪問者はサイトが安全であることを確認できます。

2. 電子メールの暗号化と署名

PKIを使用して電子メールの送受信を暗号化し、デジタル署名を付与することで、メールの改ざん防止や送信者の確認が行えます。PGPやS/MIMEなどのメール暗号化プロトコルに利用されています。

3. VPN(仮想プライベートネットワーク)の認証

企業ネットワークへのリモートアクセスにおいて、PKIを利用してVPNのアクセス認証を強化することができます。VPN接続の際、証明書を利用して認証することで、セキュリティの向上が図れます。

4. デジタル署名(電子署名)

電子署名にPKIを用いることで、文書や電子取引の認証、改ざん検出が可能となります。これにより、契約書や法的文書の正当性を証明できるため、信頼性が求められる業務に適しています。

5. コードサイニング(ソフトウェアの信頼性保証)

ソフトウェアやスクリプトに対してPKIを用いたデジタル署名を行い、そのソフトウェアが正規のものであることを保証します。これにより、ユーザーは信頼できるソフトウェアをインストールでき、不正ソフトウェアやマルウェアを防ぎます。

PKIのメリット

PKIの導入には以下のようなメリットがあります。

  • 高いセキュリティと信頼性
    デジタル証明書と公開鍵暗号の組み合わせにより、インターネット通信の安全性が向上し、改ざんや盗聴のリスクが軽減されます。
  • 非対称暗号方式による安全な認証
    PKIでは、公開鍵と秘密鍵を別々に管理する非対称暗号方式を採用しており、パスワードに依存しない強力な認証を実現できます。
  • 相互認証の実現
    PKIにより、サーバーとクライアントが相互に認証できるため、接続先が正当な相手であることを確認できます。

PKIのデメリットと課題

PKIには一方で、いくつかの課題やデメリットも存在します。

  • コストの問題
    PKIの導入には、認証局から証明書を発行する費用やシステム管理費用がかかるため、小規模組織にとっては負担が大きくなる場合があります。
  • 管理の複雑さ
    証明書の発行・失効管理、公開鍵と秘密鍵の管理が必要なため、運用には専門知識が求められます。また、秘密鍵の漏洩が生じるとセキュリティの根幹が崩れるため、慎重な管理が必要です。
  • 信頼のチェーン(信頼連鎖)の依存性
    PKIの信頼性はCAの信頼に依存しています。もしCA自体が不正行為を行ったり、攻撃を受けたりした場合、全体の信頼性が損なわれるリスクがあります。

まとめ

公開鍵基盤(PKI)は、デジタル証明書と公開鍵暗号技術を組み合わせ、インターネットやネットワーク上での安全な認証と通信を実現するための基盤です。CAによるデジタル証明書の発行を通じて、SSL/TLS、電子メール、VPN、電子署名、コードサイニングなど、さまざまな分野で信頼性を高める役割を果たします。PKIの導入にはコストや管理の複雑さといった課題もあるものの、セキュリティと信頼性の向上には不可欠な技術であり、重要なインフラとして幅広く活用されています。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。