メインコンテンツまでスキップ
紫色の六角形のパターン

デジタルの表層の下では、包括的なセキュリティの枠組みが、私たちが当たり前だと思っている多くの重要な機能を支えています。 電子メールからオンラインバンキングまで、公開鍵基盤(PKI)は、デジタルライフのほとんどすべての面で信頼性と完全性を確保するために舞台裏で運用されています。

このガイドでは、PKIがどのようにオンライン操作のための安全な環境を構築し、個人と組織の両方に対してさまざまなプラットフォームで強固な保護を提供しているかを探ります。

PKIとは何ですか?

公開鍵インフラストラクチャは、デジタル証明書を作成、管理、配布、使用、保存、および取り消すために必要なポリシー、役割、ハードウェア、ソフトウェア、および手順のセットです。 電子証明書は、パスポートや運転免許証のように、あなたの身元を証明し、一定の特典を提供するものです。

PKIの目的は、電子商取引、インターネットバンキング、機密電子メールなどのさまざまなネットワーク活動において、情報の安全な電子転送を促進することです。 これは、ユーザとマシンがインターネット上で安全にデータを交換し、相手の身元を確認するためのシステムです。

例えば、オンラインバンキング口座にログインする際、PKIは接続を暗号化し、機密情報のプライバシーと安全性を確保します。 そうすることで、不正なウェブサイトとやりとりしていないことを保証しながら、安全に認証情報を入力し、アカウントにアクセスすることができます。

PKIの構成要素

公開鍵基盤は単一の技術ではなく、いくつかの重要な部分の組み合わせです。 これらは一体となって、暗号化を管理し、データを保護し、大規模で安全な通信を行うための技術とプロセスを提供します。

高レベルでは、PKIには以下が含まれます:

  • PKI鍵暗号化、つまり意図された受信者以外の誰にも読まれないようにデータを隠すプロセス、を可能にする鍵のペアです。 暗号では、公開鍵と秘密鍵が対になっています。 公開鍵は自由かつオープンに配布され、秘密鍵は所有者に秘密です。
  • デジタル証明書: 情報の暗号化および署名に使用できる鍵ペアに証明書所有者の身元をバインドする電子証明書です。 
  • 認証機関(CA): デジタル証明書を発行する信頼されたエンティティです。 
  • 登録機関(RA): 証明書要求を受け付け、その背後にある個人または組織を認証する責任を負います。
  • 証明書リポジトリ: 証明書が保管され、検証のために取り出すことができる安全な場所です。
  • 一元管理ソフトウェア: 組織が暗号鍵とデジタル証明書を管理できるダッシュボードです。
  • ハードウェアセキュリティモジュール(HSM): 暗号操作の実行やデジタル鍵の保管および管理のための安全な環境を提供する物理的な装置です。

これらのコンポーネントの多くは、包括的なPKIプロバイダを通じて入手できます。 例えば、Entrust PKIは、組織が人、システム、リソースを安全に接続するために使用する業界トップのソリューションです。 柔軟なサービスであり、オンプレミス、クラウド、マネージドPKIサービスのいずれでも利用できます。

PKIの仕組みとは

PKIの仕組みを知ることで、PKIが不可欠な理由と、組織がその機能を最大限に活用する方法を理解することができます。 それぞれのピースを詳しく見てみましょう:

暗号技術と暗号化

関連はありますが、これらの用語に互換性はありません。 暗号技術はコードを通じて通信を保護する技術ですが、暗号化は数学的アルゴリズムを使用してこれを実現する暗号技術のサブセットです。 どちらも機密情報を難読化し、権限のない者には読めないようにします。

暗号化アルゴリズムは2つのカテゴリーに分類されます:

  • 対称型暗号化: この方式では、データの暗号化(安全化)と復号化(ロック解除)に同じ暗号鍵を使用します。 そのシンプルさとは裏腹に、すべての卵を1つのカゴに入れているようなもので、鍵を侵害した者は誰でも、その鍵が保護しているものすべてにアクセスできてしまいます。
  • 非対称型暗号化: 対照的に、非対称暗号はPKI全体で使用されており、それゆえ「公開鍵暗号」とも呼ばれます。 この方法は、暗号化と復号化を別々に処理するために、数学的にリンクされた鍵ペアを使用します。 秘密鍵はアクセスを許可するため、保護されたメッセージを受け取るエンティティだけが知っています。

例えば、あなたがJohnに秘密のメッセージを送りたいとしましょう。 あなたはJohnの公開鍵を使ってメッセージを暗号化します。 これにより、Johnが安全に保管している秘密鍵だけがメッセージを解読できます。 この設定により、潜在的な攻撃者を含め、他の誰も内容を読むことができなくなります。

しかし、あなたが受け取った公開鍵が、あなたがそう思っている人物のものであることを、どうやって知ることができるでしょうか? 認証がなければ、中間者攻撃(MITM)の犠牲になる危険があります。 それは、偽者が公開鍵を使って通信を傍受し、データを採取するなどの悪意のある目的で改ざんするケースです。

幸いにも、そこでデジタル証明書が役立ちます。

デジタル証明書

デジタル証明書、「公開鍵証明書」と呼ばれることもあり、公開鍵の所有者を識別するための電子文書です。 これにより、受信者は鍵が正当なソースから来たものであることを確認でき、MITM攻撃のリスクを軽減できます。 

証明書には通常、以下のものが含まれます:

  • 証明書所有者の氏名、証明書の通し番号、有効期限などの識別可能な情報
  • 公開鍵のコピー
  • 真正性を証明するための発行局のデジタル署名

認証局

認証局(CA)は、デジタル証明書を作成および発行する信頼できる第三者機関です。 パブリックCAの場合、CAは証明書所有者の身元を審査し、検証する役割も担っており、公開鍵基盤の不可欠な一部となっています。

すべてのCAは「証明書失効リスト」を管理しなければなりません。 要するに、信頼できる認証局が予定された有効期限前に失効させたすべての証明書を文書化し、もはや信頼すべきでない証明書を特定しているのです。

大まかに言って、CAには2つのタイプがあります:

  • ルート認証局: PKI階層で最も信頼されるタイプのCAです。 ルート認証局の証明書は自己署名されており、自己の電子署名によって認証されます。 これらの認証機関は信頼の基盤を形成します。これらの認証機関による証明書を使用して、下位の認証機関またはエンドエンティティに対する証明書が作成、署名、発行されるからです。
  • 下位認証局: ルート認証局または上位の下位認証局によって認証された組織です。 下位認証局が発行する証明書はルート認証局の署名を含むため、信頼を継承します。 チェーン内の各証明書は、次の証明書の真正性を証明する責任を負い、トップからボトムまで継続的で信頼できるトラストパスを作成します。

CAはどのようにしてデジタル証明書を作成するのでしょうか? 基本的なプロセスはこうです:

  1. 鍵の生成: ユーザは鍵ペアを生成します。
  2. 証明書要求: ユーザは、公開鍵と識別情報を含む証明書署名要求(CSR)をCAに送信します。
  3. 検証: CAは、多くの場合RAの助けを借りて、ユーザの身元を検証します。 
  4. 証明書の発行: 検証されると、CAはユーザの公開鍵とその他の識別情報を含むデジタル証明書を発行します。 この証明書はまた、CAの秘密鍵によって署名され、デジタル署名を作成します。
  5. 証明書の使用: 安全な通信を行う場合、送信者は受信者の公開鍵を使ってメッセージを暗号化することができます。 それを受け取った受信者は、自分の秘密鍵を使ってメッセージを復号することができます。

証明書管理システム

証明書管理システムは、証明書ライフサイクルのあらゆる側面を促進するソフトウェアソリューションです。 証明書の登録、発行から配布、失効、更新に至るまで、自動化によってプロセスを合理化し、暗号資産が適切に管理されていることを保証します。

例えば、一部のソリューションでは、関連するすべての活動の詳細なログを記録し、規制要件や内部監査への準拠を支援します。 1つの真実の情報源を通じて管理を一元化することで、組織は証明書が誤って管理されるリスクを低減し、データ保護を向上させることができます。

ハードウェア・セキュリティ・モジュール

最後に、HSMはPKIのセキュリティアーキテクチャにおいてきわめて重要な役割を果たします。 基本的な用語で言えば、暗号化プロセスを保護するために設計された物理的な装置で、鍵の生成、保管、取り扱いを堅牢で改ざんされにくい環境で行います。

例えば、鍵の生成です。 ハードウェアセキュリティモジュールは、暗号システムの強度と完全性を維持するために重要な、高品質の乱数生成器を使用して鍵ペアを作成することができます。 鍵がプレーンテキストの形でデバイスから離れることはないため、潜在的な脆弱性にさらされることは最小限に抑えられます。

同様に、HSMの主な機能の1つは秘密鍵の保管です。 それらをハードウェア環境に保管することで、権限のない存在によるデータの抜き取りや漏洩を防ぐことができます。

今すぐ、EntrustのPKIソリューションとPKI購入者ガイドをダウンロードしてください。

PKIが重要な理由は何ですか?

なぜPKIが重要なのかを理解する最良の方法は、その使用例を整理することです。 ここでは、組織がPKIを活用する最も重要な方法をいくつか紹介します:

1. 安全な通信

PKIは、電子メールやメッセージングサービスなど、さまざまな形態のデジタルコミュニケーションを保護するための礎石です。 このようなチャネルを保護するだけでなく、消費者、パートナー、従業員、市民など、すべての関係者にとってより信頼できるものにします。

2. 認証とアクセス制御

PKI は、システム、ネットワーク、またはオンラインサービスにアクセスするユーザに対して、強力な認証メカニズムを提供します。 証明書は、安全なデジタル識別の一形態として機能し、認証されたユーザのみにアクセスが許可されることを保証します。

これらの機能により、PKIはゼロトラストセキュリティモデルを導入する組織にとって特に有用です。 ゼロトラストは、「決して信用せず、常に検証する」という原則に基づいて運営されており、場所に関係なく、リソースにアクセスするすべてのユーザとデバイスを確認するために、継続的な認証が必要となります。

そして、このアプローチに見合う価値があります。 Forresterの調査によれば、ゼロトラストセキュリティは、ユーザエクスペリエンスを向上させながら、ビジネス成果を増幅させることができます。

3. 安全なインターネット閲覧

PKIの多くの側面は、インターネット閲覧やオンライン取引に大いに関連しています。 Secure Sockets Layer(SSL)および Transport Layer Security(TLS)プロトコルでは、ブラウザはデジタル証明書を活用してウェブサイトを認証し、暗号化された接続を確立します。 もっと簡単に言えば、信頼できるドメインにアクセスしていることをエンドユーザに知らせるのです。

TLS/SSL証明書は、ウェブサーバとブラウザ間で転送されるすべての情報が非公開であることを保証します。 証明書がないウェブサイトやサーバは攻撃を受けやすく、機密データが悪人の手に渡る危険性があります。

4. 文書への署名とタイムスタンプ

デジタル署名<によって、電子文書の真正性と完全性が検証されます。これは、法的書類、契約書、その他原本証明や同意が必要な記録に不可欠です。

最も重要なのは、文書署名証明書が3つの重要な目的を果たすことです:

  • 真正性: 証明書が、文書が証明書の公開鍵に対応する秘密鍵を保有する個人またはエンティティによって署名されたことを確認します。
  • 整合性: 署名後に文書に手を加えると、電子署名は無効になります。 これにより、受信した文書は、署名者が送信しようと意図したとおりのものであり、修正されていないことが保証されます。
  • 否認防止: 電子署名と関連する証明書は、署名者の身元と署名時の文書内容への同意を証明する強力な証拠となるため、署名者は文書への署名の信憑性を否定することはできません。

5. コードサイニング

ソフトウェア開発者は、コード署名証明書を使用してスクリプトを認証します。 そうすれば、エンドユーザはダウンロードしたソフトウェアが改ざんされていないことを確認できます。 これは、マルウェアからの保護、ソフトウェアの完全性の維持、消費者の信頼の構築に役立ちます。

6. IoT(モノのインターネット)

コネクテッドデバイスの普及により、機械の数が人間のユーザを上回る傾向にあります。 データを収集、保存し、他の機械に送信するセンサーのようなこれらのデバイスは、サイバー脅威に対して潜在的に脆弱です。 しかし、管理すべきものがあまりにも多いため、IoTセキュリティはますます難しくなっています。

各デバイスに固有のデジタル証明書を提供することで、PKIは強固な認証を保証し、通信しているデバイスが本当に正当なものであることを検証します。 これは、不正アクセスやデータ漏洩を防ぐために極めて重要です。

さらに、PKIは機器間の暗号化通信を容易にし、機密データの伝送を盗聴や改ざんから保護します。 この包括的なセキュリティアプローチは、複雑化するIoTエコシステム全体でデータの完全性と守秘性を維持するために不可欠です。

PKIのベストプラクティス

PKI導入を最大限に活用するためのベストプラクティスをいくつか紹介します:

  • 秘密鍵ストレージの使用: 改ざんや不正アクセスから物理的および論理的に保護するHSMを使用するなど、秘密鍵を保護する強固な仕組みを導入します。
  • 定期的な鍵のローテーションと更新の実施: 鍵や証明書を無期限に使用すべきではありません。 鍵の露出に伴うリスクを軽減し、セキュリティを強化するために、定期的な鍵ローテーションと証明書更新のルーチンを確立します。 また、従業員が退職した場合や秘密鍵が漏洩した場合など、必要に応じて暗号資産を失効させます。
  • 強力な認証スキームの導入: 多要素認証(MFA)を統合し、特にPKIシステムへのアクセスや、証明書の発行または失効などの守秘性の高い操作の実行において、セキュリティを強化します。
  • 一元化された証明書および鍵管理: 証明書の発行から失効または失効までのライフサイクル全体を管理するツールとプロセスを導入します。 これらのツールが PKI ポリシーおよびセキュリティ標準への準拠を促進することを確認します。
  • 主要なバックアップとリカバリのポリシーを作成するバックアップおよび復旧手順を確立し、定期的にテストすることにより、重要なPKIコンポーネントが中断または災害後に迅速かつ安全に復旧できることを確認します。
  • 方針と手続きを常に最新の状態に保つ: 証明書ポリシー(CP)および認証業務運用規程(CPS)は、PKI に不可欠です。CPは、認証局が発行する各種証明書クラスの概要および適用されるポリシーを記載した包括的な文書です。CPSは、CAが技術的な立場でどのようにこれらの方針を実施するかについて詳述しています。 これらの文書を常に最新の状態に保つことは、セキュリティ、信頼、法令遵守を維持するための基本です。 サイバーセキュリティ、テクノロジー、規制の変化のダイナミックな状況に合わせて、定期的に見直し、改訂する必要があります。

EntrustのPKIでセキュリティとユーザエクスペリエンスを両立する

信頼できるネットワーク環境を確立して維持すると同時に、自動化され、透過的で、ユーザフレンドリーなシステムを提供するという目標を達成できるのは、包括的なPKIソリューションだけです。 幸いなことに、Entrustなら成功に必要なものはすべて手に入ります。

当社のマネージド PKIサービスを使用すれば、証明書を中心とするIDによって、成長を続ける会社のユーザ、アプリ、デバイスを保護できます。 さらに、初期設定、構成、継続的なメンテナンス、監査を当社のエキスパートが代行します。 なぜでしょうか PKIの実装を確実に最良のものにするために。

今すぐ、EntrustのPKIソリューションとPKI購入者ガイドをダウンロードしてください。