PKIとは何ですか？また、どのように機能しますか？

Public Key Infrastructure（PKI）は、暗号鍵ペアとサーバー証明書を使用して、IDの認証、データの暗号化、デジタル通信の保護を行うセキュリティの枠組みです。 安全なEメール、オンラインバンキング、クラウドプラットフォーム、およびほぼすべての信頼性の高いデジタルインタラクションの屋台骨となっています。

PKIはデータセキュリティに不可欠な要素であり、重要な業務システム、デバイス、データにおける安全なインタラクションを支える信頼性に優れたレイヤーを構築します。

このガイドでは、PKI がデジタル業務の安全な基盤の構築方法や、ますます深刻化するサイバーリスクデータやID、およびトランザクションの保護方法に触れていきます。

• Public Key Infrastructure（PKI）は、データ、デバイス、およびIDを安全に保つ暗号化、認証、およびデジタル署名を可能にする、デジタル信頼の基盤です。
• PKIシステムの構成要素には、証明書、鍵、認証局、登録局、ハードウェア・セキュリティ・モジュール、およびサポートする管理ソフトウェアが含まれ、これらすべてが、システム全体にわたってIDを検証し、機密情報を保護するために連携します。
• PKIは、ウェブサイトのSSL/TLS、安全な電子メール、文書署名、ユーザ認証、IoTのセキュリティ、機械のID管理などの、ビジネスの鍵となるユースケースをサポートしています。
• PKIの利点としては、安全な通信、アクセス制御、認証、ソフトウェアなどの完全性を検証するためのコード署名などがあります。
• また、金融、政府、医療といった機密性の高いデータを扱う業界においては、厳格なプライバシー要件の順守に向けたPKIシステムが採用されています。

公開鍵インフラストラクチャは、デジタル証明書を作成、管理、配布、使用、保存、および取り消すために必要なポリシー、役割、ハードウェア、ソフトウェア、および手順のセットです。 このような証明書はデジタルパスポートや運転免許証のように機能するため、ユーザ、デバイス、サービスの接続やデータ共有を行う前に検証します。

PKI は、ユーザとシステムが双方のIDを確認しつつ安全なデータ交換を実現します。 また、オンラインバンキング、電子商取引、暗号化されたEメールといった、高い機密性が求められるアクティビティを保護します。 最新のIT環境においては、このようなシステムはサイバーセキュリティには必要不可欠であり、データ保護に関する法律や規制の順守を維持するためにも欠かせないものとなっています。 

例えば、従業員が自宅オフィスから会社の社内ポータルにログオンする場合、PKIは接続を暗号化し、サーバーのIDを確認します。 また、データ交換が転送中に改ざんされていないことを確認するため、デジタル署名を行います。 これにより、従業員やシステムが機密情報を自信を持って共有することが、合法的かつ認可された組織と通信していることを知ることができます。 

脅威が変化し、量子コンピューティングがより現実的になるにつれて、PKIは暗号のアジリティをサポートします。 これにより、組織は業務を中断することなく量子攻撃に耐えるように設計されたものを含む、より強力な暗号化標準に移行することが可能となります。

PKIは単一のツールではなく、接続された部品からなる一つのシステムです。 これらは共に、暗号化の管理、データの保護、ユーザ、デバイス、サービスにわたるセキュア通信クライテリアを保護します。

Public Key Infrastructureのコンポーネントには、以下が含まれています：

• PKI鍵： 暗号化に使用される鍵のペア。 これは、意図された受信者以外には読み取れないようにしてデータを保護するものです。 暗号では、公開鍵と秘密鍵が対になっています。 公開鍵は自由かつオープンに配布され、秘密鍵は所有者に秘密です。
• デジタル証明書： 情報の暗号化および署名に使用できる鍵ペアと証明書所有者のIDを紐づける電子認証情報です。
• 認証機関（CA）： IDの検証およびサーバー証明書の発行を行う事業体。
• 登録機関（RA）： 証明書要求を受け付け、その背後にある個人または組織を認証する責任を負います。
• 証明書リポジトリ： 検索と検証に関するサーバー証明書を保持する安全なストレージシステム。
• 一元管理ソフトウェア： 鍵やサーバー証明書を一元管理できるソフトウェア。
• ハードウェア・セキュリティ・モジュール（HSM）： 暗号処理を実行し、秘密鍵を安全に保管する物理的な装置。

PKI は、ユーザ、デバイス、およびシステム全体に信頼ポリシーを適用するため、これらのコンポーネントをまとめることによって機能します。 本人確認、暗号化、証明書管理を通じて、信頼できる事業体のみが情報を交換できる拡張可能なフレームワークを構築します。

PKIは暗号化によって機能し、暗号化のサブセットは数学的アルゴリズムにより、読み取り可能なデータを読み取り不可能なフォーマットに変換します。

暗号化アルゴリズムは、以下の2つのカテゴリーに分類されます： 対称型暗号化は、データの暗号化と復号化の両方に同一の鍵を使用します。 その鍵が漏洩すれば、データはもはや安全ではありません。

対照的に、非対称暗号化では2つのリンクした鍵が使用されます。 一方は公開鍵で広く共有され、もう一方は秘密鍵で機密性を保持されます。 PKIの暗号化はデータの暗号化、ユーザの認証、トランザクションの保護についてこの方法を使用します。

段階的なプロセスは、PKIが実際にどのように機能するかを示しています：

1. 各ユーザ、デバイス、システムは、秘密鍵（秘密を保持）と公開鍵（オープンに共有）を生成します。
2. Certificate Authority（CA）は事業体の ID を検証し、公開鍵をその ID に紐づけるサーバー証明書を発行します。 ID を鍵のペアに接続することで PKI 認証に対応し、信頼できるユーザ、デバイス、およびシステムのみが機密リソースにアクセスできることが検証されます。
3. 暗号化されたデータを送信する際、送信者は受信者の公開鍵を使用します。 一致する秘密鍵のみが復号可能です。
4. 送信者は、自分の秘密鍵を使ってデジタル署名を適用することも可能です。
5. 受信者のシステムは、証明書をCAと照合します。 証明書失効リスト（CRL）またはオンラインステータスプロトコル（OCSP）を使用して証明書の有効性を確認し、鍵の信頼性を確認することが可能です。 これによりデータの出所の証明、完全性の保証、および変更されていないことが確認されます。
6. PKIシステムは、鍵や証明書が漏洩した場合失効させることができるため、ネットワーク全体のセキュリティを維持できます。

PKIはIDの検証とデータ保護を通じて、全ユーザ間の信頼を醸成します。 また、中間者（MITM）攻撃、なりすまし、スプーフィングも防止できます。 例えば、攻撃者がメッセージを傍受したとしても、秘密鍵がなければ解読できません。

組織は、PKI-as-a-Service（PKIaaS）を利用することで、社内の大規模技術インフラや専門知識に投資することなくPKIを管理できます。 このクラウドベースのソリューションは、拡張可能な証明書管理、自動鍵ローテーション、モニタリングを行い、あらゆる規模の組織が安全な通信とトランザクションを支援できるよう支援します。

サーバー証明書

デジタル証明書、「公開鍵証明書」と呼ばれることもあり、公開鍵の所有者を識別するための電子文書です。 これにより、受信者は鍵が正当なソースから来たものであることを確認でき、MITM攻撃のリスクを軽減できます。 

PKI Certificateには通常、以下のものが含まれます：

• 証明書所有者の氏名、証明書の通し番号、有効期限などの識別可能な情報
• 他者がデータの暗号化やデジタル署名の検証に使用できる公開鍵のコピーにより、機密性と認証の両方に対応します。
• 真正性を確認するための発行局のデジタル署名

適切な証明書ライフサイクル管理は、安全なデータ交換を維持して暗号化と認証を正しく機能させるために不可欠です。 PKI 証明書は、発行から失効まで追跡・モニタリングされ、必要に応じて更新する必要があります。 また、危殆化あるいは陳腐化した場合には、取り消されることもあります。

認証局

Certificate Authorityは、サーバー証明書を作成および発行する信頼できる第三者機関です。 IDの検証と安全なデジタル通信に必要となる信頼性の高いチェーンの確立を支援します。

すべてのCAは証明書失効リスト（CRL）を保持し、予定された有効期限前に失効した証明書を記録します。 これは、組織が失効した、あるいは安全でない証明書の識別に役立ちます。

大まかに言って、CAには2つのタイプがあります：

• ルート認証局： PKI システムで最も信頼される事業体。 Root CAは信頼の基盤を形成し、下位の認証機関またはエンドユーザに対する直接証明書の発行により信頼の基盤を構築します。
• 下位認証局： これらはRoot CAまたは上位の下位認証局によって認証されます。 これらの認証局は信頼を継承し、ユーザ、デバイス、またはシステムに証明書を発行します。 

チェーン内の各証明書は、次の証明書の真正性を証明する責任を負い、トップからボトムまで継続的で信頼できるトラストパスを作成します。CAの危殆化はこの連鎖を断ち切るため、PKI セキュリティを損なう可能性があります。

CAは証明書を作成に対して特定の手順を踏みます：

1. 鍵の生成： ユーザまたはシステムは、公開鍵と秘密鍵のペアを作成します。
2. 証明書要求： 公開鍵と識別情報を含む証明書署名要求（CSR）をCAに送信します。
3. 検証： CAは、多くの場合RAの助けを借りて、ユーザの身元を検証します。 
4. 証明書の発行： 検証されると、CAはユーザの公開鍵とその他の識別情報を含むデジタル証明書を発行します。 この証明書はまた、CAの秘密鍵によって署名され、デジタル署名を作成します。

このようなステップを大規模に管理するには、自動化、ポリシーの実施、可視化が必要です。 Certificate Servicesは、組織が複雑さを増すことなくリスクを軽減し、法令順守の期待に応えることを支援します。

証明書管理システム

証明書管理システムは、証明書の発行、検証へのプロビジョニング、失効、更新といった証明書ライフサイクルのあらゆる側面を推進するソフトウェアソリューションです。 このようなツールはリスクの軽減と可視性の向上を行い、暗号資産の一貫して取り扱います。

例えば、一部のソリューションでは、関連するすべての活動の詳細なログを記録し、規制要件や内部監査への準拠を支援します。 組織は、1つの真実の情報源によって管理を一元化することで、証明書の期限切れの見落としや誤用リスクを低減し、データ保護を向上させることができます。

自動化システムは、何千もの証明書が集中管理されることなく複雑な環境に展開される「証明書の乱立」防止に役立ちます。 このようなシステムは、有効期限のモニタリング、更新管理、必要に応じた証明書の失効を通じてシステムの安全性を維持します。

また、自動化は企業がPKIポリシーの大規模実施に役立ち、ITリソースのより効率的な割り当て、組織全体の一貫性確保を可能にします。 全般的に、自動化された証明書管理は業務を中断させ、犯罪に悪用される機会につながるエラーや業務の停止、脆弱性を防止します。

ハードウェアセキュリティモジュール

ハードウェア・セキュリティ・モジュールはPKIのセキュリティアーキテクチャにおいてきわめて重要な役割を果たします。 このような暗号化プロセスを保護された物理的な装置で、鍵の生成、保管、取り扱いを堅牢で改ざんされにくい環境で行います。

例えば、ハードウェア・セキュリティ・モジュールは、強力な暗号化に不可欠な高品質の乱数生成器を用いて鍵ペアを生成することができる。 鍵が平文のままデバイスに残ることなく、脅威への露出が最小限に抑えられます。

もう一つの重要な機能は秘密鍵の保管です。 鍵を安全なハードウェア環境内に保管することで、権限のない団体による抽出や漏洩を防止できます。 これは鍵を保護するだけでなく、企業がハードウェア・レベルで厳格なセキュリティ・ポリシーを実施できるようにします。 その結果、金融や政府機関などの高保証セキュリティを必要とする業界の企業にとって、ハードウェア・セキュリティ・モジュールは、データを保護し、信頼を構築するPKIシステムに不可欠なものとなっています。

PKIが使用されている場所を理解することで、その価値が明確になります。 組織がPKIを活用する最も重要な方法をいくつか紹介します：

安全な通信

PKIは、電子メールやメッセージングサービスなど、さまざまな形態のデジタルコミュニケーションを保護するための礎石です。 このようなチャネルの保護だけでなく、消費者、パートナー、従業員、市民、規制当局など、あらゆる関係者にとってより信頼できるものにします。

認証とアクセス制御

PKI は、システム、ネットワーク、またはオンラインサービスにアクセスするユーザに対して、強力な認証メカニズムを提供します。 証明書は、安全なデジタル識別の一形態として機能し、認証されたユーザのみにアクセスが許可されることを保証します。

これらの機能により、PKIはゼロ・トラスト・セキュリティ・モデルの重要な一部となっています。 ゼロトラストは、「決して信用せず、常に検証する」という原則に基づいて運営されており、場所に関係なく、リソースにアクセスするすべてのユーザとデバイスを確認するために、継続的な認証が必要となります。組織はPKIをゼロ・トラスト戦略に統合することでセキュリティの強化、順守の合理化、サイバー脅威リスクの大規模な低減が可能になります。

文書への署名とタイムスタンプ

デジタル署名<によって、電子文書の真正性と完全性が検証されます。これは、法的書類、契約書、その他原本証明、機密性、同意が必要な記録に不可欠です。

ドキュメント署名証明書は3つの重要な目的を果たします：

• 真正性： 証明書が、文書が証明書の公開鍵に対応する秘密鍵を保有する個人またはエンティティによって署名されたことを確認します。
• 整合性： 署名後に文書に手を加えると、電子署名は無効になります。 これにより、受信した文書は、署名者が送信しようと意図したとおりのものであり、修正されていないことが保証されます。
• 否認防止： 電子署名と関連する証明書は、署名者の身元と署名時の文書内容への同意を証明する強力な証拠となるため、署名者は文書への署名の信憑性を否定することはできません。

さらに、デジタル署名の利便性と強固なセキュリティ保証の組み合わせにより、効率性の向上と収益の加速をサポートします：デジタル署名を用いた契約の80%までが1日以内、44%が15分以内に完了しています。

コードサイニング

ソフトウェア開発者は、コード署名証明書を使用してスクリプトを認証します。 そうすれば、エンドユーザはダウンロードしたソフトウェアが改ざんされていないことを確認できます。 これは、マルウェアからの保護、ソフトウェアの完全性の維持、消費者の信頼の構築に役立ちます。

ソフトウェアの完全性

PKIは、ソフトウェアの出所と完全性を検証するCode Signingに使用されます。 アプリケーション、ドライバー、更新が配布中に改ざんされていないことを保証します。

IoT（モノのインターネット）

データを収集、保存し、他の機械に送信する「スマート」デバイスは、サイバー脅威に対して潜在的に脆弱です。 特にクラウドやIoT環境では、接続されたデバイスやワークロードの数が増加しているため、安全かつ拡張可能な認証の確保が大きな課題となっています。

各デバイスに固有のデジタル証明書を提供することで、PKIは拡張可能な信頼性の基礎を構築し、通信しているデバイスが本当に正当なものであることを検証します。 これにより、大規模な分散型ネットワークであっても、不正アクセス、なりすまし、データ操作を防止できます。

認証だけでなく、Public Key Infrastructureは転送中のデータのエンドツーエンドの暗号化を可能にし、デバイス、アプリケーション、クラウドワークロード間の通信が安全で改ざんされないようにします。

PKI は、独自の脅威に直面し、データ漏洩が深刻な法的、財政的、規制的影響をもたらす業界において不可欠です。

• 金融機関は、安全なオンラインバンキング、取引認証、厳格なKYC（Know Your Customer）やAML（Anti-Money Laundering）要件の順守のため、PKIを必要としています。 強固なサーバー証明書のセキュリティは、送金中の顧客データの保護、大規模な取引における本人確認、詐欺や不正アクセスの防止に役立ちます。
• 政府機関は、機密情報のセキュア通信クライテリア、公文書へのデジタル署名、市民の本人確認にPKIを利用しています。 また、税金の申告、社会保障、その他給付金の登録など、安全なオンライン取引にも対応しています。 PKI は、真正性と完全性を保証することにより、政府のデジタルシステムの信頼性を維持に役立ちます。
• 医療機関は、電子カルテ（EHR）の保護、患者データに関する医療保険の携行性と責任に関する法規制の遵守、ネットワーク上の医療機器の認証にPKIを使用している。 また、遠隔医療予約や患者ポータルサイトの守秘性を確保し、医療システムがより多くの患者にオンラインサービスや遠隔サービスを提供できるようにすることも可能です。
• 従業員が分散している大企業は、Eメールの暗号化からVPNアクセス、IoTデバイスの認証に至るまで、あらゆるものに関してPKIを導入しています。 組織がますます巧妙な攻撃にされされるなか、PKIは、認証済みユーザとデバイスのみがリソースにアクセスできるようにするのに役立ちます。

このようなベストプラクティスは、PKI 実装の強化と、安全な証明書管理への対応に役立ちます。

• 方針と手続きを常に最新の状態に保つ： 証明書ポリシー（CP）および認証業務運用規程（CPS）は、PKI に不可欠です。CPは、認証局が発行する各種証明書クラスの概要および適用されるポリシーを記載した包括的な文書です。CPSは、CAが技術的な立場でどのようにこれらの方針を実施するかについて詳述しています。 これらの文書を常に最新の状態に保つことは、セキュリティ、信頼、法令遵守を維持するための基本です。 サイバーセキュリティ、テクノロジー、規制の変化のダイナミックな状況に合わせて、定期的に見直し、改訂する必要があります。
• 秘密鍵の保護： 改ざんや不正アクセスから物理的・論理的に保護するハードウェア・セキュリティ・モジュールを使用するなど、秘密鍵を保護する強固な仕組みを導入します。
• 定期的な鍵のローテーションと更新の実施： 鍵や証明書を無期限に使用すべきではありません。 鍵の露出に伴うリスクを軽減してセキュリティを強化するため、定期的な鍵ローテーションと証明書更新のルーチンを確立します。 悪質な行為者はデータを採取し、現在のアルゴリズムを打破する能力を持つ量子コンピュータが利用可能になったときに解読しようとしているため、このような暗号のアジリティは、量子化後の脅威に備えるためにますます欠かせなくなっています。
• 強力な認証スキームの導入： 多要素認証（MFA）を統合し、特にPKIシステムへのアクセスや、証明書の発行または失効などの守秘性の高い操作の実行において、セキュリティを強化します。
• 一元化された証明書および鍵管理： 証明書の発行から失効までのより強化された可視性と管理を行うライフサイクル全体を管理するツールとプロセスを導入します。 また、透明性とトレーサビリティを可能にすることで、監査やコンプライアンスにも対応します。
• 主要なバックアップとリカバリのポリシーを設定します： バックアップおよび復旧手順を確立し、定期的にテストすることにより、重要なPKIコンポーネントが中断または災害後に迅速かつ安全に復旧できることを確認します。

マネージドPKIサービスは、PKI を必要としながらも専門知識を持たない組織にとって有用である。 このような状況では、マネージドPKIのベンダーが、ポリシー、ハードウェア、ソフトウェアを管理し、PKI がベストプラクティスに沿った方法で運用されているようにします。

クラウドPKI は、Certificate Authority（CA）、鍵管理、およびライフサイクル・ツールがプロバイダによってホストされる、サービスベースの展開モデルです。 組織は、独自の物理インフラへの投資や維持を必要とせずに、サーバー証明書を導入・管理可能です。 完全な制御を提供するが、多大なコストとITリソースを必要とするオンプレミスPKIと比較して、クラウドPKIは迅速な展開、容易な拡張、簡素化された管理を提供します。

クラウドPKIは、大規模なIT環境や分散したIT環境を持つ企業に適しています。 証明書発行の迅速化、ライフサイクル管理の自動化、順守の可視化を実現します。

ハイブリッド展開モデルもあります。 ハイブリッドPKIの導入は、クラウドベースのサービスとオンプレミスのインフラを組み合わせます。 組織はこのモデルによって柔軟性が向上し、クラウドの拡張性の恩恵を受けながら、機密性の高いコンポーネントの管理を維持することができます。

組織は、自社のリソース、優先事項、目標との合致、規制要件への対応、ワークロードの変化に対応可能なモデルを選択する必要があります。

また、Public Key Infrastructureは暗号方式の進化に伴いデジタル信用の基盤であり続けます。 とは言え、技術や業務の進歩や変化についていかなければなりません。

量子コンピューティングの急速な進展により、今日の公開鍵アルゴリズムはもはや安全ではなくなり、デジタル通信の機密性と完全性が脅かされることになります。 このような事態に備えるため、企業には暗号のアジャイル性に注力し、業務を中断することなく技術に対応できる能力を確保する必要があります。 

量子攻撃に耐えるよう設計されたアルゴリズムの標準化を支援するため、NISTは2024年に初となるポスト量子暗号化標準を発表しました。 このような新基準は、組織がアイデンティティ、データ、トランザクションを保護する方法を再構築するものです。 ポスト量子暗号への移行については、慎重な計画、証明書システム全体の可視性、ライフサイクル管理のための拡張可能なツールが欠かせません。

競合他社よりも一歩前を行くには、自動化への対応、新たなアルゴリズムを混乱なく統合できるPKIシステムが必要です。 アジリティ、可視性、標準への即応性は、進化する規制と将来の暗号脅威の両方に対応するための鍵となります。

Entrust は、クラウドネイティブのPKI as a Service（PKIaaS）、マネージドPKIサービスオプション、およびオンプレミスの PKI ソリューションEntrust Certificate Authority といった、さまざまなPKI ソフトウェアソリューションを提供しています。 これらを活用することで、組織は固有のニーズとデジタル環境に基づき、利便性と安全性を両立できます。

暗号化セキュリティ管理のあらゆるニーズに対応する包括的なソリューションを求める組織向けに、EntrustのCryptographic Security Platform は、証明書ライフサイクル管理、鍵と機密性の管理、およびハードウェア・セキュリティ・モジュールを1つの強力な集中管理インターフェイスに統合し、Public Key Infrastructureのすべての重要なコンポーネントを提供します。

今すぐインタラクティブ・デモをご覧いただき、ご自身の目でプラットフォームをご体験ください。