SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

間違いだらけのサイバー攻撃対策

PKIを利用すれば安全という神話の終焉--危殆化するアルゴリズムと運用面の問題点

■第7回

 前回の記事では、多層防御の考え方と実例を説明しました。今回からは、認証を強化する多要素認証としてあらためて注目を集めている電子証明書とICカードを利用した認証について解説していきたいと思います。電子証明書は、公開鍵基盤 (PKI:Public Key Infrastructure)の構成要素の1つ証明機関から発行されます。そして、公開鍵の対となる秘密鍵を特に安全に保護するためICカードに格納される場合があります。今回の連載では特に電子証明書に焦点を当ててその枠組みについて解説します。

電子証明書とは何か? 

 電子証明書とは、簡潔に言うと、公開鍵暗号で利用する公開鍵の持ち主を表したものです。公開鍵暗号は、暗号化と復号化に異なる鍵を利用する暗号化方式です。秘密鍵とよばれる自身だけが保持する鍵と、公開鍵と呼ばれる一般に公開する鍵を利用します。

 公開鍵は、電子証明書として一般に広く公開します。 証明書を利用する場合はまずその証明書が信頼されていることが前提となります。

 証明書は、第三者認証による認証の仕組みを利用しています。証明書を利用している者同士ではなく、証明書を発行した証明機関が信頼できるかどうかをもって、この仕組みは、現実世界でいうと「印鑑証明」に似ています。

出所:マイクロソフト TechNet オンライン

 第三者認証をつくりだすしくみを実現しているのが、公開鍵基盤 (PKI:Public Key Infrastructure)なのです。

 PKIでは、証明機関同士の相互認証の仕組みや、証明機関の役割を分割して担う仕組みなども実現しています。 現在、数百もの証明機関が世の中に構築されています。ひとつひとつの証明機関の信頼性をユーザー自身で確認し、信頼するのは大変です。このため、各ブラウザーやOSなどでは、信頼できる証明機関のリストを持ち、ユーザーに変わって信頼できる証明機関の確認を行います。

 マイクロソフトでは、ルート証明書プログラムという仕組みを利用し、信頼できる商用の証明機関のリストを配信しています。Internet ExplorerだけではなくWindows OS上での証明書利用においては、ルート証明書プログラムに参加しているかをもって、それぞれの証明機関が信用できるものなのか、確認を行います。

 ルート証明書プログラムへ参加し信頼できる証明機関の証明書とするためには、証明機関の監査の状況、CA証明書に利用しているアルゴリズムや鍵長など、安全性が確保されるセキュリティ要件を満たす必要があります。

出所:マイクロソフト TechNet オンライン

次のページ
PKIを利用していれば安全か? 危殆化するアルゴリズムと運用面の問題点

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
間違いだらけのサイバー攻撃対策連載記事一覧

もっと読む

この記事の著者

村木 由梨香(ムラキ ユリカ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/5762 2014/04/21 07:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング