認証局とは？

公的な信頼であれ私的な信頼であれ、認証局は広範なサイバーセキュリティエコシステムの重要な構成要素です。 それがどのようなものなのか、どのように機能するのか、ご存知ないですか？ かしこまりました。

ここでは、ビジネスニーズに最適な認証局の選び方など、認証局について知っておくべきことをすべてご紹介します。

認証局（CA）は、ウェブサイト、電子メールアドレス、 企業、または個人のデジタルIDを検証するエンティティです。 これには、信頼性を証明する方法を提供するデジタル証明書と呼ばれる暗号資産が使用されます。

例えば、ウェブブラウザーはCAと連携してウェブサイトを認証し、ハッカーや悪質な行為者によって運営されていないことを保証します。 もし認証局が存在しなければ、インターネット上での買い物や銀行取引、機密情報の送信は安全ではありません。 httpsの「s」はセキュアであることを意味し、ウェブサイトの所有者が信頼できるCAによって確認されていることが分かります。

パブリックCAとプライベートCAの比較： 違いは何でしょう？

認証局はパブリックかプライベートのどちらかです。 両者は似たような機能を果たしていますが、2つのカテゴリーには重要な違いがあります：

• パブリックCA ： このグループには、一般大衆にサービスを提供する事業体が含まれます。 彼らの証明書は世界中で受け入れられており、ウェブサイトやオンライン取引、その他のデジタルユースケースのセキュリティ確保に適しています。 利用可能なパブリックCAの数は限られていますが、主要なウェブブラウザープロバイダーと深い信頼関係があります。
• プライベートCA： このカテゴリには、企業の内部使用に特化した認証局が含まれます。 つまり、プライベートネットワークやVPN、ユーザ認証、コード署名など、内部的な目的やユースケースに限って証明書を発行しています。 ひいては、プライベート認証局は、その組織内部のユーザによってのみ「信頼」され、外部のエンティティに証明書を発行することはほとんどありません。 そのため、一般的には「ローカルCA」とも呼ばれます。

なぜ認証局は信頼できると考えられているのでしょう？

パブリックCAは、CA/ブラウザフォーラムによって提示され確立された基本要件を満たす必要がある、厳密に審査されたエンティティです。 認証局とインターネットブラウザが協力して、管理および様々なデジタル証明書の発行について、より厳格で統一された基準を策定しています。

これらの基本要件により、パブリックCAはほとんどのアプリケーションで世界的に認知され、受け入れられています。 しかし、内部的なユースケースをサポートすることはできず、その場合はプライベートCAの出番となります。 各プライベートCA は、証明書発行の目的、プロセス、管理などを規定するポリシーを持っています。 その結果、信頼され、高い保証を得られると考えられています。

簡単に言えば、デジタル証明書は、デバイス、ウェブサーバ、ユーザ、またはエンティティの信頼性を証明する方法です。 運転免許証やパスポートと同じような目的で、身分証明を提供し、一定の手当を確認します。 しかし、運転や入国の許可ではなく、デジタル証明書は主に3つの機能を果たします：

1. 認証： 証明書は、ウェブドメインや組織など、発行されたエンティティの身元を検証するクレデンシャルとして機能します。
2. 暗号化： ユーザ名やパスワード、電子メールなど、オンラインで送信される情報を暗号化することで、インターネット上の通信を保護します。
3. 署名： 証明書は、デジタル署名された文書が第三者によって改ざんされないことを保証し、その完全性を維持します。

これはすべて、公開鍵基盤（PKI）によって実現されています。 要するに、PKIは、暗号鍵（暗号化、復号化、検証を可能にする資産）の生成と保管に必要なハード ウェア、ソフトウェア、手順、ポリシーのすべてを包含します。

公開鍵基盤はどのように機能するのでしょう？

PKIでは、すべてのデジタル証明書は特定の鍵のペアに接続されています：公開鍵と秘密鍵です。これらの暗号資産はそれぞれ、データの暗号化と復号化に使われる長いビット列です。 すべての証明書は特定の個人または団体に固有のものであり、身分証明のためのパスポートのような役割を果たします。

公開鍵は要求すれば誰でも自由に利用でき、関連するエンティティに送信する前に機密情報を暗号化することができます。 しかし、そのメッセージは公開鍵の所有者しか知らない秘密鍵でしか復号化できません。

しかし、公開鍵の送信者が本人であることをどうやって確認するのでしょうか。 そこで、証明書の出番です。 証明書には、公開鍵だけでなく、その所有者、発行CA、作成されたデータ、有効期限などに関する情報も含まれています。 これは、鍵が悪意のある人物ではなく、主張された人物に本当に帰属するものであることを確認するのに役立ちます。

証明書管理とは？

証明書管理とは、プロビジョニングから更新、失効に至るまで、デジタル証明書のライフサイクル全体を管理するプロセスです。 しかしながら、証明書の数が増えている組織にとって、証明書の管理は難しいものです。

電子証明書の利用が増加する中、（スプレッドシートのような）手作業による管理プロセスは持続可能ではありません。 多くの企業は、暗号インベントリや証明書資産を完全に可視化するだけでなく、切望されていた自動化レイヤーを提供するライフサイクル管理ツールに注目しています。

デジタル証明書は、プライバシーと保護の基盤として、オンライン上のやり取りを保護するために不可欠です。 ほとんどの認証局は、さまざまなユースケース、保証レベル、コンプライアンス要件、およびその他の用途に応じたさまざまなタイプの証明書を提供しています。 これには以下が含まれます：

ドキュメント署名証明書

その名の通り、文書署名証明書は、電子記録に署名するために使用されます。 さらに重要なことは、文書の完全性を保証し、内容が改ざんされていないことを検証し、署名者の身元を確認することです。 否認防止をサポートすることができるため、法的な契約には特に有用です。

コード署名証明書

同様に、コード署名証明書は、ソフトウェア開発者がアプリケーションやプログラムにデジタル署名することができるようにします。 これにより、エンドユーザは、受信したコードが改ざんや操作されていないことを確認することができ、詐欺、マルウェア、盗難から両者を守ることができます。

TLS/SSL証明書

最も一般的な電子証明書は、TLS証明書とSSL証明書の2種類でしょう。 TLSは「Transport Layer Security」の略で、SSLは「Secure Sockets Layer」の略です。 どちらも、身元を認証し、暗号化されたブラウザー接続を確立するインターネットセキュリティプロトコルです。

技術的には、SSL証明書は時代遅れで、TLS暗号化がその代わりとなっています。 しかし、「SSL」という名称は、トランスポートレイヤーセキュリティを指す言葉として今でも一般的に使われています。 そのため、この2つの頭文字を組み合わせたもの： TLS/SSLを目にすることが多いでしょう。

このタイプの証明書は通常、ウェブサイト、クライアント、サーバの認証に使用されます。 この大まかな分類の下に、TLS/SSL証明書にはいくつかの特定のタイプがあります：

• 拡張認証（EV）証明書： EV SSL証明書は、最も高いセキュリティ保証を提供し、その検証プロセスは最も厳格です。 ウェブサイトに導入すると、南京錠のアイコン、組織名、HTTPの後ろの「S」の指定が訪問者に見えるようになります。 このタイプの証明書は、一般に、データの収集、ログイン処理、またはオンライン決済を行うためのID保証を必要とするウェブアプリケーションに使用されます。
• 組織認証（OV）証明書： OV SSL証明書は、IDの保証と暗号化を提供し、取引中のユーザ情報を暗号化するのに最適な証明書です。 消費者向けウェブサイトの多くは、セッション中に通信される情報の機密性を確保するために、OV SSL証明書の導入を法的に義務付けられています。
• ドメイン認証（DV）証明書： DV SSL証明書は、ドメインの管理権限を証明するだけの、EV証明書やOV証明書に比べてID確認要件が少ない証明書です。 ブログ、ユーザーコミュニティ、情報提供サイトなど、リスクの低い用途に多く使われます。 そのため、DV証明書は安価であり、簡単に入手できます。
• ワイルドカードSSL証明書： ワイルドカードSSL証明書は、企業認証レベルまで検証されており、ベースドメインと任意の数の関連サブドメインを保護するための費用効率の良いソリューションです。 複数の証明書を個別に購入するよりも低コストであることに加え、ユーザーは複数の証明書署名要求を提出したり、複数のURLで複数のTLS/SSL証明書の有効期限を管理したりする必要がないため、より簡便に利用することができます。
• 統合通信マルチドメイン（UC）証明書： これは、拡張認証または企業認証のいずれかのレベルで検証されます。 複数の証明書を統合する効率的な方法として、SAN（Subject Alternative Names）を活用したコスト削減が挙げられます。 UC SSL証明書は、信頼性の高いID情報を確立し、サイト訪問者がお客様のサイトにアクセスする時に出力されるブラウザの警告通知をオフにします。

信頼できる認証局から信頼できるTLS/SSL証明書を取得することは、さまざまな理由から非常に重要です：

• 高まるコンプライアンスへの要求： 欧州で施行された一般データ保護規則（GDPR）は、全世界で採用が進んでいます。 GDPRの基準に違反した組織は、高額な罰金や収益の減少に直面します。
• 検索エンジンでのビジビリティの低下： 検索エンジンは、セキュリティ上の脅威となるウェブサイトに対して、ネガティブセキュリティ指標を埋め込み、検索エンジンの検索結果からサイトを削除するなどの取り締まりを行っています。
• データセキュリティの強化： パスワード、クレジットカード番号、金融取引など、高価値のデータを保護することは非常に重要です。
• 信頼できるIDの重視： 認証局は、組織のIDを確認し、企業がそのドメインを管理していることを確認し、証明書の要求者が関連するエンティティに雇用されていることを確認します。

このプロセスは、申請者が証明書署名要求（CSR）とともに、公開鍵と秘密鍵という暗号資産のペアを生成するところから始まります。 つまり、CSRは、証明書に含まれる公開鍵やその他の関連情報を含むエンコードされたファイルです。

これには、対応するドメイン名、組織、連絡先情報などが含まれますが、最終的には検証レベルや意図するユースケースによって異なります。 しかし、秘密鍵は常に秘密にする必要があり、CAを含む誰にも決して見せてはなりません。

次に、申請者は証明書署名要求を発行局に送信します。 発行局は、CSRに含まれる情報が正しいことを独自に検証します。 正しければ、証明書を自らの秘密鍵でデジタル署名して送り返し、その過程で信頼のレイヤーを追加します。

最後に、電子証明書は、誰かがウェブブラウザーを通じて申請者のウェブサイトにアクセスしたときなどに、公開鍵を使用して認証することができます。 さらにブラウザーは、証明書の内容が発行局によって署名されて以来、変更または改ざんされていないことを確認します。

信頼の連鎖とは、証明書が発行CAの正当性を検証するために使用する階層構造です。 このモデルでは、証明書は連鎖の上位に存在する他の証明書によって発行され、署名されます。 これにより、証明書の真正性を検証したい人は誰でも、「ルート証明書」として知られるCAのオリジナルまでさかのぼることができます。

全体として、このプロセスは3つのパートの組み合わせです：

1. トラストアンカーとは発信元CAです。 ルート証明書は通常、ほとんどのブラウザーで「トラストストア」にあらかじめダウンロードされています。
2. ルート証明書から、少なくとも1つの中間証明書がツリーのように枝分かれします 。 これは、信頼できる認証局とエンドエンティティの間にバッファを提供します。
3. エンドエンティティ証明書は、ウェブサイト、企業、または個人の身元を検証します。 信頼の連鎖は、CAがコンプライアンス基準、特にセキュリティ、プライバシー、スケーラビリティに 関する基準を遵守することを保証します。

すべてのCAが、お客様の組織の特定のユースケースを保護するように設計されている、または保護できるわけではありません。 ITインフラと連動しないものもあれば、探しているサービスがない場合もあります。 以下は、認証局を選択する際に留意すべき重要な検討事項 です：

• CAがブランドを適切に保護しているか？
• CAが認証局ブラウザーフォーラムのベストプラクティスに従っているか？
• CAが柔軟なライセンスと価格ポリシーを提供しているか？
• CAが、組織の現在および将来のニーズを満たすために、組織とともに成長できるか？
• CAが、CA Security Councilに積極的に参加しているか？

デジタル証明書は当社にお任せください

数え切れないほどの組織が、パブリック証明書とプライベート証明書のニーズにEntrustを選ぶのには理由があります。 世界的に認知された認証局として、当社は証明書の発行および管理において数十年の経験を持っています。 さらに、他の認証局が発行した証明書も含め、パブリック証明書およびプライベート証明書を一元管理することができます。 

また、CA Security CouncilおよびCA/Browser Forumの創立メンバーとして、常に業界標準の最前線にいます。 デジタル証明書とソリューションの幅広いポートフォリオにより、お客様は革新的な製品とサービスのリストにアクセスできます。

受賞歴のあるEntrustの証明書プラットフォームを使用すると、次が得られます：

• 圧倒的なサポート
• ユニバーサルブラウザとの互換性
• 再発行の制限なし
• 無制限のサーバーライセンスと128～256ビットの暗号化