メインコンテンツまでスキップ

簡単に言えば、認証局とは、デジタル証明書を発行する事業者のことです。 認証局は、サイバーセキュリティにおいて極めて重要な役割を担っています。 発行されるデジタル証明書は、あなたのウェブサイトがハッカーやその他の悪者によって運営されていない合法的なものであることを証明するためのものです。 もし認証局が存在しなければ、インターネット上での買い物や銀行取引、その他の機密情報の送信は安全ではありません。 httpsの「s」はセキュアであることを意味し、ウェブサイトの所有者が認証局によって確認されていることが分かります。

公開Vs. プライベート認証局

これらは類似の機能を果たしますが、公開とプライベートの認証局には重要な違いがあります。

  • プライベート認証局は、企業固有のもので、プライベートネットワークやVPN、ユーザー認証、コード署名などの内部の目的およびユースケースのために証明書を発行します。
  • 公開認証局は、ブラウザから信頼されている事業者であり、一般公開されたウェブサイトやサービスを利用する際に、検証や暗号化などのセキュリティを提供します。

認証局はどのように信頼を獲得するのか?

パブリック認証局は、CA/ブラウザフォーラムによって提示され確立された基本要件を満たす必要があり、それを審査されます。 認証局とインターネットブラウザが協力して、認証局の管理およびTLS/SSL証明書の発行について、より厳格で統一された基準を策定しています。 Baseline Requirements 1.0は2012年7月1日に発効されました。

SSL 証明書およびPKI

httpsの「s」に加え、ウェブサイトにアクセスするとブラウザのトップバーに南京錠が表示されますが、これを実現しているのがSSL証明書という技術です。 この証明書は、PKIに基づき、一般に信頼されている認証局から発行されたものです。 TLS/SSL証明書の導入は、ウェブサイトでの取引に対するサイバー攻撃から、組織、見込み客、顧客を保護するための鍵になります。

TLS/SSL証明書の種類

オンライン上のあらゆるやり取りは、悪意のある攻撃から保護される必要があります。 TSL/SSL証明書は、デジタル領域におけるプライバシー、保護、およびブランドインテグリティの基盤です。 ほとんどの認証局は、要求される保証レベル、コンプライアンス要件、および保護されるドメインの数に応じて、さまざまなタイプの証明書を提供しています。

  • 拡張認証(EV)SSL証明書は、最も高いセキュリティ保証を提供し、その検証プロセスは最も厳格です。ウェブサイトに導入すると、南京錠のアイコン、組織名、HTTPSの指定が訪問者に見えるようになります。 このタイプの証明書は、一般に、データの収集、ログイン処理、またはオンライン決済を行うためのID保証を必要とするウェブアプリケーションに使用されます。
  • 企業認証(OV)SSL証明書は、アイデンティティの保証と暗号化を提供し、取引中のユーザー情報を暗号化するのに最適な証明書です。消費者向けウェブサイトの多くは、セッション中に通信される情報の機密性を確保するために、OV SSL証明書の導入を法的に義務付けられています。
  • ドメイン認証型(DV)SSL証明書は、ドメインの管理権限を証明するだけの、EV証明書やOV証明書に比べてID確認要件が少ない証明書です。ブログ、ユーザーコミュニティ、情報提供サイトなど、リスクの低い用途に多く使われます。 そのため、DV証明書は安価であり、簡単に入手できます。
  • ワイルドカードSSL証明書は、企業認証レベルまで検証されており、ベースドメインと任意の数の関連サブドメインを保護するための費用効率の良いソリューションです。複数の証明書を個別に購入するよりも低コストであることに加え、ユーザーは複数の証明書署名要求(CSR)を提出したり、複数のURLで複数のTLS/SSL証明書の有効期限を管理したりする必要がないため、より簡便に利用することができます。
  • ユニファイドコミュニケーション(UC)SSL証明書は、拡張認証または企業認証のいずれかのレベルで検証されます。複数の証明書を統合する効率的な方法として、SAN(Subject Alternative Names)を活用したコスト削減が挙げられます。 UC SSL証明書は、信頼性の高いID情報を確立し、サイト訪問者がお客様のサイトにアクセスする時に出力されるブラウザの警告通知をオフにします。

TLS/SSL証明書が重要である理由

信頼できる認証局から信頼できるTLS/SSL証明書を取得することは、さまざまな理由から非常に重要です。

  • 高まるコンプライアンスへの要求。 欧州で施行された一般データ保護規則(GDPR)は、全世界で採用が進んでいます。 GDPRの基準に違反した組織は、高額な罰金や収益の減少に直面します。
  • 検索エンジンでのビジビリティの低下。 検索エンジンは、セキュリティ上の脅威となるウェブサイトに対して、ネガティブセキュリティ指標を埋め込み、検索エンジンの検索結果からサイトを削除するなどの取り締まりを行っています。
  • データセキュリティの強化。 パスワード、クレジットカード番号、金融取引など、高価値のデータを保護することは非常に重要です。
  • 信頼できるIDの重視。 認証局は、組織のIDを確認し、組織がそのドメインを管理していることを確認し、証明書の要求者が組織に雇用されていることを確認します。

証明書管理の必要性

証明書の数が増えている組織にとって、証明書の管理は難しいものです。 証明書ライフサイクル管理ツールは、証明書インベントリを完全に可視化するために必要となります。 信頼できる環境をビジネスニーズに合致させるために、幅広い統合機能を提供する管理ソリューションを探してください。 デジタル証明書は、従来のユースケースやIoT(モノのインターネット)やDevOpsなどのモダンなユースケースを含む、あらゆるニーズに対応する必要があります。 また、複雑な問題を解決するための専門知識に関するプロフェッショナルサービスや、困ったときに24時間365日対応してくれるカスタマーサポートチームも欲しいところです。

認証局とPKIの関係

公的な信頼であれ私的な信頼であれ、認証局は広範なPKI(公開鍵基盤)エコシステムの重要な構成要素です。 PKIとは、ITセキュリティの基礎となるもので、人、システム、モノの間の信頼と安全な相互作用を確立するために使用されます。 そのために最も良いのは、署名、認証、暗号化、またはその3つを行うために認証局から発行されるデジタル証明書を利用することです。

信用の輪(Web of Trust)Vs. 認証局

信用の輪(Web of Trust)は、暗号化のための分散化モデルで、PKIに代わるものとして機能します。 信用の輪(Web of Trust)は、認証局に依存する代わりに、異なるソースからの一連の署名によって正当性を確立し、公開暗号鍵をその所有者に結びつけます。 信用の輪(Web of Trust)の概念は、1992年にPhil ZimmermannがPGP(pretty good privacy)バージョン2.0のマニュアルで紹介したものです。 これに対し、認証局は、厳しい要件を満たし、毎年監査を受けている信頼できる第三者機関に依存しています。