GMOインターネットグループの技術情報は新しいサイトに移管しています。 新しいサイトはこちら

社内レポート

2011年5月25日(水)

クライアント証明書の種類および活用事例を紹介

身近なビジネス関連で利用されている電子証明書技術 後編(補論)

今回は「私たちに身近なビジネスと関連した電子証明書技術解説シリーズ」後編の補論として、ID・パスワードを強化する認証のしくみであるクライアント証明書の種類や事例を通じた活用法、今後の展望などについて、GMOグローバルサイン株式会社 代表取締役社長 中條一郎氏、同社取締役 武信浩史氏に語ってもらった。

記事INDEX

セキュリティレベルに応じた認証利用が必要な時代

前回も紹介しましたが、SSLサーバ証明書を利用したやりとりは、ユーザーにとって安心感があるものの、ウェブサイト運営者側からはユーザーの本人性を確かめる方法がありません。そのため、ID・パスワードという2つの記号の列を、ユーザーとウェブサイト運営者側で照合させるという最低限の本人認証を実施しているケースが多いのですが、ユーザー側でひとつのID・パスワードを複数人で使いまわしていたり、誕生日や電話番号など簡単に類推できる文字列をパスワードとして使用していて他人に知られてしまったりすると、アクセスしているユーザーが本当に本人であるのかどうかが怪しくなってしまいます。
また、ID・パスワードは一般的には、ユーザーとサイト運営者が同じ情報を持つしくみであることから、ウェブサイト運営者側に悪意があれば、ユーザーのID・パスワードを勝手に利用しユーザーに成り済ますという可能性も否めません。

こうしたID・パスワードのみによるしくみが抱えるリスクを回避し、よりセキュアなユーザー認証手段として用いられるのがクライアント証明書で、第三者である認証局による認証を通じて発行することにより、現実の社会と同様にインターネット上でもユーザーの本人性が担保されるいわばネット上の身分証明書として使用することも可能です。

私たちはID・パスワードを真っ向から否定するわけではありません。守るべき情報の重要度や許容可能な運用・操作の手間等を考慮しアクセス認証の仕組みを使い分ける、例えばカタログや記事等の情報を参照するのみの場合はID・パスワードを用いるが、オンラインバンキング/オンライン証券取引/社内業務システムの利用等ではクライアント証明書を使用するなど、セキュリティレベルに応じた認証の仕組みを採用することが必要と考えます。

アクセスコントロールやメールへの電子署名・暗号化が可能に

こうしたクライアント証明書を利用して実現できることは主に2つです。


1. ウェブサイトへのアクセスコントロール

ウェブサイト運営者は、クライアント証明書をいわば通関証として用いることにより、あらかじめ許可された時にのみアクセスやログインを認証することができます。

ID・パスワードはその情報を知りさえすれば誰でも本来のユーザーになりすますことができてしまいますが、クライアント証明書の場合は、そのクライアント証明書(厳密には対応する秘密鍵も合わせて)を所有していなければ本人になりすますことができません。


2. メールへの電子署名とメールの暗号化
電子メールに電子署名を行うことにより、受信者は証明書情報から送信元を確認することができ、なりすましや改ざんを検知することができます。

また、電子署名に加え、送信相手もクライアント証明書を所有している場合、メールを暗号化できるので、重要な機密情報を安心して電子メールで送受信することができます。

グローバルサインのクライアント証明書

グローバルサインのクライアント証明書には、パブリック認証局利用タイプ(電子署名<S/MIME>用証明書、マネージドPKI Lite)と、プライベート認証局利用タイプ(パブリックルート署名サービス)があります。


● パブリック認証局利用タイプ -電子署名(S/MIME)用証明書-

電子署名(S/MIME)用証明書は、部門名または法人名用があります。ウェブサイトへアクセスする際には本人性を第三者が認証してくれるだけでなく、顧客に配信するメールに電子署名を付与することでフィッシング詐欺から利用者を保護することができます。

● パブリック認証局利用タイプ -マネージドPKI Lite-

クライアント証明書の一括発行・管理ツールで、ネット上の身分証・通関証としてクライアント証明書を利用した認証を強化でき、利便性とセキュリティを両立させることができます。
また、メールの暗号化を実現するS/MIMEに利用することもできます。初期費用無料で最少10枚からクライアント証明書を導入可能なので、小規模事業主様にもご利用いただけます。

● プライベート認証局利用タイプ -パブリックルート署名サービス-

Windows Server 2003/2008やお客様独自の仕様により構築されたプライベート認証局(Private Cerificate Authority)に対し、パブリックルート認証局により署名を行うサービスです。本サービスの利用により、プライベート認証局にパブリック認証局の信頼を付与し、パブリックなクライアント証明書を発行することができるようになります。

事例紹介:マネージドPKI Liteを活用したアクセスコントロールで、セキュアな社内システムへ

レンタル・リサイクル店舗や音響メーカーなどで使われる光メディア修復装置で国内シェア7割の導入実績を誇る東京都の「株式会社プレンティー」様は、社内システムへのアクセスコントロールを目的として、クライアント証明書(マネージドPKI Lite)を導入されています。今回は、導入理由や運用方法について、取締役本部長 今多 貴裕様にお話をおうかがいしました。


● 導入の背景

「当社の業務システムでは詳細な顧客情報を閲覧することができるため、その情報を第三者へ漏らすことは決して許されません。例えば、誰かが部長のIDとパスワードを仮に入手したら、承認もできてしまいます。そのため、社員一人ひとりを確実に本人であることが確認できる環境を作りたいと考えたのが導入検討を開始したきっかけです。
また、わが社は売り込みやメンテナンスのために営業マンなどが全国に飛んでいるため、外部からでも安全に社内システムの処理を行えるようにするのも課題でした」

● 社員認証用にクライアント証明書を選択した理由とは?

「生体認証やワンタイムパスワードの導入も検討しましたが、前者は外出中の営業マンがよく利用している漫画喫茶やインターネットカフェにICカードを読み取るしくみがないなど汎用性が高くありませんし、後者もあまり馴染みがないうえコストがかかるため断念しました。 ?そこでPCに標準装備されたインターフェイスを使用できるようUSBトークンに格納して利用するクライアント証明書を選びました」

● 最終的に、GMOグローバルサインのクライアント証明書を採用したのは?

「ASP型サービスのマネージドPKIは他にもいくつかありますが、グローバルサインは最小10枚から導入可能で、とにかく敷居が低く感じられたからです」

● 日常的な運用方法について

「各社員にクライアント証明書をインストールしたUSBトークンを渡し、社内システムへのアクセスコントロールに使用しています」

自宅勤務も安全・スムーズになり、将来的にはバーチャルオフィス勤務も可能に

3月11日に発生した東北地方太平洋沖地震の影響を受けて首都圏の多くの企業が自宅勤務となりました。その際、自宅作業をする社員は自宅PCあるいは自宅へ持ち帰った業務用PCから会社のウェブサイトにアクセス後、ID・パスワードで認証を受けてログインし、さまざまな業務を行っていたのではと思います。

ただし、この場合も他人のID・パスワードの不正利用や外部者侵入による“なりすまし”が行われないとも限りません。また、例えば、請求書発行業務で上司に社判を押してもらっている場合、インターネット上では捺印ができなくなるため、業務が滞ってしまう可能性もあります。

こうした災害時の危機管理を考えた場合、今後、企業では安全なクラウド上に基幹システムを配置し、そこに社員がPCからアクセスして業務を行うという流れが加速するはずで、そうなるとクライアント証明書などを使った社員認証のしくみはますます重要になってくると思われます。また、こうしたクライアント証明書の利用が企業社会で普及していけば、電子署名されたメールで請求書を発行できるなど、いちいち出社しなくても自宅で会社の業務ができるような時代になると思われます。



次回はベルギーをはじめとするEU各国で発行されている電子証明書(eIDカード)について述べたいと思います。


2011.3.24



取材協力:GMOクリエイターズネットワーク株式会社