デジタル証明書（電子証明書）とは

デジタル証明書（電子証明書）とは、通信内容を暗号化したり、通信相手を証明する際に使われる電子的な証明書のことをいう。

インターネットを通してデータをやり取りする際、データの中身が改ざんされていないか、データの送信者が本当に作成した本人であるかを確認するために、デジタル署名（電子署名）という技術が広く利用されている。デジタル署名では、データを暗号化／復号化する方法として、公開鍵暗号方式という仕組みを採用している。この方式では、情報の暗号化／復号化に「公開鍵」「秘密鍵」を使用し、ペアとなる公開鍵・秘密鍵を持つ受信者だけが、暗号化された情報を復号化することができる。

しかし、デジタル署名を行うだけでは、そこで使われる公開鍵が本当に正しい公開鍵であるかどうかを確認することができない。そこで、このデジタル署名の解析用の公開鍵が正しいものであることを事前に証明するものとして、デジタル証明書が利用される。つまり、デジタル署名の正当性を証明するものがデジタル証明書であり、これは印鑑と印鑑証明書の関係に例えられることが多い。デジタル証明書は、やり取りするデータの正当性や送信者の身元を保証し、なりすましやデータの改ざん、通信経路上の盗聴等の防止を実現する上で、重要な役割を担っている。

なお、デジタル証明書は認証局（CA）によって発行される。現在広く普及しているデジタル証明書のフォーマットはX.509という規格で定められており、証明書内には、証明書の識別番号、発行者の識別番号、証明書の有効期間、公開鍵の暗号アルゴリズムの種類、発行者のデジタル署名などの情報が格納されている。また、これらのデジタル証明書の失効も認証局の機関が行っている。デジタル証明書には有効期限が設定されているが、期限内であっても無効にすることが可能であり、有効期限前に失効したデジタル証明書は、証明書失効リスト（CRL）に登録され、認証局により管理されている。ユーザはCRLを入手することで、対象のデジタル証明書の有効／無効を確認することができる。

デジタル証明書発行の流れ

以下で、デジタル証明書を発行する際の流れを解説する。

1. ユーザは、申請するサーバ側で公開鍵と秘密鍵を生成する。
2. 決められたフォーマット（PKCS#10）で、認証局に自分の識別情報と公開鍵を送付する。このとき送る申請内容のことをCSR（Certificate Signing Request）と呼ぶ。日本語では、証明書署名リクエストである。
3. 認証局は、厳正な審査の上、認証局の秘密鍵で暗号化したデジタル署名を付け、デジタル証明書を発行する。同時に、リポジトリと呼ばれるデジタル証明書の保管場所へも情報が登録され、公開される。
   ユーザは、受け取ったデジタル証明書をサーバへインストールする。
4. クライアントPCは、認証局の公開鍵を使用し、デジタル証明書が正当なものか否かを判断することができる。

デジタル証明書発行の流れ

デジタル証明書の種類

デジタル証明書には、主に以下のサーバ証明書とクライアント証明書の2種類がある。

サーバ証明書

サーバ証明書は、「SSL/TLSによる暗号化通信」と「サーバの所有者の身元証明」の2つの機能を持つデジタル証明書のことである。例えばWebサーバの場合、サイトにアクセスするとブラウザとWebサーバ間でSSL通信を行うが、サーバ証明書が導入されたWebサーバでは通信内容が暗号化され、プライバシーが保護された状態で安全にデータを受け渡すことができる。また、サーバ証明書によりWebサーバの所有者の身元が保証され、信頼できる本物のWebサイトであることが証明される。ちなみに、WebサイトのURLがHTTPSから始まり、ブラウザのURL欄に鍵のマークが表示されているサイトは、サーバ証明書が導入されていることを意味している。サーバ証明書はWebサーバ以外にも、メールサーバやLDAPサーバなどでも使われる。

クライアント証明書

クライアント証明書とは、クライアントやユーザ自体を証明するデジタル証明書のことである。例えば、社外から社内へVPN接続を行ったり、Webサービスやシステムへログインしたりする際、ユーザIDとパスワードによる認証だけでは、第三者による不正アクセスやパスワードの盗難などのリスクがある。このとき、個人や組織が正規の利用者であることを証明するクライアント証明書を使用することで、ユーザID・パスワードのみの認証に比べセキュリティを強化することができる。前述のサーバ証明書はWebサーバ等にインストールされるのに対し、クライアント証明書はユーザのデバイスにインストールするという違いがある。

デジタル証明書認証のメリット

デジタル証明書を利用した認証は、オンライン上の盗聴、改ざん、なりすましといった、さまざまなセキュリティリスクへの対策として効果的である。

例えば、通常のユーザIDとパスワードを使った認証では、認証情報を他人に知られてしまうと簡単に悪用されてしまうという問題がある。ユーザIDとパスワードは個人が設定でき、同じものを使い回していたり、本人を類推させる内容が含まれていたりする場合も多いため、時間をかければ見破られてしまう可能性がある。企業によるID/パスワードの漏洩の危険性もある。また、近年のコンピュータの処理性能の向上により、複雑な文字列のパスワードに対しても、パスワード解析が比較的容易になってきている。そのため、漏えいしなかったとしても、パスワードが解析され、本人になりすまされ悪用されるケースもある。

一方、デジタル証明書を利用した認証では、認証局を通してデータの作成者を証明することができる上に、期限が切れた証明書や、内容が正確でない証明書は、認証局によって無効とされるため、より精度の高い本人確認が可能となる。そのため、ユーザIDとパスワードのみを用いた認証に比べ、なりすましやデータの改ざんをすることが難しく、信頼性が高いというメリットがある。

デジタル証明書認証のデメリット

幅広い利用者に対して審査を行い、証明書を発行する公式な認証局のことを、パブリック認証局と呼ぶ。パブリック認証局が発行する証明書（パブリック証明書）は、厳しい審査をクリアした第三者の機構が発行しているため、信頼性が高いという特長がある。しかし、パブリック証明書は有償のものが多く、ユーザーへのコスト面の負担が大きい。例えば、社内でVPN接続を許可する端末にクライアント証明書を導入するとなると、社員数分のクライアント証明書が必要となり、非常にコストがかかる。そのため、組織内など限定的なネットワーク向けに証明書を導入する場合には、プライベート認証局を構築するのが一般的である。

プライベート認証局は、事業会社などが独自の運用の基準を設けて構築する認証局のことである。プライベート認証局が発行する証明書（プライベート証明書）にはコストがかからない。しかし、プライベート証明書を運用する際は、誰に渡している何の証明書か、有効期限はいつか、証明書をどうやって渡すかなど、管理すべき項目が多い。証明書ごとにこれらの配布や設定を行う必要があり、管理が煩雑で手間がかかるというデメリットがある。

デージーネットの取り組み

デージーネットでは、プライベート証明書の課題を解決するソリューションとして、公開鍵基盤（PKI）を構築してプライベート認証局を運営できるオープンソースソフトウェア、OpenXPKIの活用を提案している。OpenXPKIでは、利用者からのデジタル証明書発行の申請の受付、デジタル証明書の作成、検索、失効、更新などの管理を、Webインタフェースから直感的に行うことができる。そのため、煩雑になってしまいがちなプライベート証明書管理の手間を軽減することができる。

「プライベート認証局〜OpenXPKI〜」へ

また、デージーネットでは、OpenXPKIのWebインターフェースの日本語化や、一般の利用事項をまとめた手順の作成にも取り組んでいる。OpenXPKIのインストール方法や基本の利用方法などについても調査・検証し、無料でダウンロードできる「OpenXPKI調査報告書」で詳細を説明している。OpenXPKIを活用し、プライベート証明書を発行する認証局の構築サービスにも対応している。構築後はOpen Smart Assistanceという保守サービスを提供しており、認証局管理の各種サポートを受けることができる。