私たちGMOグローバルサイン株式会社は、SSLサーバ証明書のプロバイダである米国ジオトラスト社の国内販売代理店業務を行う日本ジオトラストを前身としています。2006年に米国ジオトラスト社がベリサイン社に吸収合併された際、あえて子会社になる道を絶ち、ベルギーの認証局として歴史のある「GlobalSign NV」を傘下に収めてグローバル市場に進出し、日本国内でも独立した事業会社としてSSLサーバ証明書などの発行業務を開始しました。
さらに、2007年5月に日本ジオトラスト株式会社からグローバルサイン株式会社へ、そして2008年12月からGMOグローバルサイン株式会社に社名変更し、PKIをキーとしたセキュリティ事業の担い手としてGMOインターネットグループ各社との連携強化を図り、シナジー力発揮に向けて取り組んでいます。
私たちGMOグローバルサイン株式会社では、ますます普及するeコマースなどの「電子商取引」をセキュリティ面から支える事業に取り組んでいます。しかし、“自分だけは大丈夫“と人々のセキュリティへの意識はまだまだ低く、オンライン詐欺をはじめとするサイバー犯罪の検挙数(2009年度)は6,690件と5年前に比べて約2倍になるなど増加の一途を辿っているのです。
そもそもインターネットとは、研究機関の学者がつくったネットワークであり、セキュリティ面は脆弱なため、不特定多数の人が共有するネットワーク上でのデータのやり取りにおいては、以下の4つの危険が潜んでいると言われています。
1.盗聴
インターネットを利用して通信する二者間の通信内容を、不正な手段を用いて盗み取ること。
2.不正アクセス(なりすまし)
ID・パスワードといった個人アクセス権の盗用などを通じて、本来の利用者でない第三者が本人になりすまし、ウェブサイトのサービスを悪用すること。
3.改ざん
会員登録内容など、本人がウェブサイトで登録した情報を第三者が意図的に書き換えること。
4.否認
二者間で売買契約等を締結したのにも関わらず、後になって
そのような契約を結んだ覚えはない、と契約を否認されること。
ネット上の取引では、ID・パスワードを使って認証しているから問題ないと考えている方は多いと思いますが、それらは意外に漏れやすいと考えていたほうがよいでしょう。例えば、会社のPCの端などにID・パスワードを書いた付箋紙を貼っている人は多いですし、企業の管理職の方などはそれらを秘書が管理しているケースも多いようです。また、いくら個人で大事に管理しても、サーバ側ではID・パスワードを知っているので、不正を働こうとするといくらでも可能だと言えるでしょう。
こうしたインターネット上での安全性を脅かす、不正アクセス(なりすまし)、改ざん、否認などの対抗策としては、公開鍵暗号基盤であるPKI(Public Key Infrastructure)が有効ではないかと考えています。
PKIは、いろいろな技術が複合して成り立っている共通基盤です。その中で公開鍵証明書は中心的な役割を担います。一番身近な例で言いますと、印鑑証明書みたいなものだと考えてみたら分かりやすいでしょう。
例えば、ある人が契約書などにハンコを求められた際に、「これが実印です」と言っても、相手は信じないと思います。ところが、役所で発行してもらった印鑑証明書を添付することで、初めて実印だと認められ契約が成立します。つまり役所という公的機関の信用によって、本人が申請した実印であることが裏付けられたと言えるのです。
ここで言う印鑑証明書が公開鍵証明書に相当します。印鑑証明書には、一般に印影と所有者情報、証明年月日などが記載されています。公開鍵証明書にも同様な情報が記載されており、公開鍵と、その主体者情報(有効期間、発行者などの情報も含む)を結びつけています。
このようにPKIでは、信用できる第三者機関を使って、インターネットを介した見えない相手との間に信頼関係を構築することが重要となります。印鑑証明書を発行する役所に相当するのが、PKIでは証明書の発行機関(認証局)になります。 認証局については別途解説の場を設けたいと思います。
図1 SSL利用の際にブラウザに表示される鍵マーク
図2 証明書内の全般画面
図3 詳細画面で表示されるウェブサイト運営主体
図4 詳細画面で表示される暗号化に必要な鍵(公開鍵)
図5 証明のパス画面では、ルート証明書を確認可能
PKIを活用した電子認証にはいろいろな種類がありますが、その中でもっとも身近なものと言えるのがSSL(Secure Socket Layer)。
これは、インターネット上で情報を暗号化し、送受信できるプロトコルで、サーバ⇔クライアントPC間でクレジットカード情報などの機密性の高い情報を安全にやり取りできるしくみです。実は、私たちが何気なく使っているウェブサイトでもSSLの実装を見ることができます。
例えば、通常ウェブサイトのトップページからログイン画面やネットショッピングの購入ページに入ると、URLが「http://」からではなく「https://」に変わると思いますが、これがSSLに対応していることの印です。ちなみに「s」はSSLのSを意味しています。インターネットエクスプローラを利用されている場合、その隣に鍵のマークが表示されます。そこをクリックすると公開鍵証明書の詳細や公開鍵情報などについても確認することができます。
証明書確認方法や公開鍵情報は以下の手順で確認できます。
1,SSL利用の際ブラウザに表示される鍵マークをダブルクリック→プロパティの「証明書」をクリック(図1)
2,全般画面では、発行先ウェブサーバ、証明書の発行機関、証明書の有効期限を表示(図2)
3,詳細画面では、サブジェクトにあるウェブサイト運営主体を表示(図3)
4,詳細画面では、公開キーにある暗号化に必要な鍵(公開鍵)を表示(図4)
5,証明のパス画面では、ルート証明書を確認可能(図5)
図6 ブラウザ上ではアドレスバーが緑色で表示
先ほどのログイン画面で、アドレスバーが緑色になっていることに気付かれたと思いますが、これは、GMOグローバサイン株式会社をはじめとする世界有数の認証局やブラウザベンダによって策定された、より厳格な認証プロセスのもと発行された次世代EV SSL証明書です。
EV SSL証明書を利用しているサイトではInternet Explorer 7.0等のブラウザなどでアクセスした場合、アドレスバーが緑色に表示され、会社名や認証局も表示されます(図6)。
これにより厳格な審査を通ったSSLサーバ証明書を利用していることを視覚的にアクセスユーザに通知できるようになっているのです。
このように、PKIは非常に有用なテクノロジーですが、ともすると、一般ユーザにとって難しい、近づき難い印象をもたれてしまいがちです。私たちは、ネット上の安全を守るべく、ユーザにとって使いやすいPKIの実現を目指して、政府や他の認証局、ブラウザベンダー、携帯電話キャリアと協働しながら、電子認証の普及に取り組んでいます。
次回は、PKIで用いられる公開鍵や秘密鍵、電子署名などについてより詳しく紹介していきたいと思います。
- 【第25回】PKIの暗号技術に迫る! - 公開鍵、秘密鍵(私有鍵)および電子証明書のしくみとは? -
- 【第28回】これが、電子証明書のすべて - 電子署名の正当性を裏付ける電子証明書および認証局について -
- 【第30回】認証局のウラ側教えます! - 高信頼性を実現するセキュアなシステムや運用体制について -
- 【第33回】暗号アルゴリズムの2010年問題 - 次世代暗号技術移行に向けた認証局の対応について -
- 【第36回】意外に知らない暗号の謎を解く! - 「暗号アルゴリズムの2010年問題」補論 -
