【「エンジニア生活」・技術人 Vol.14】複雑なセキュリティを簡単にどこにでも——サイバートラスト・渡辺弘幸氏 | RBB TODAY

【「エンジニア生活」・技術人 Vol.14】複雑なセキュリティを簡単にどこにでも——サイバートラスト・渡辺弘幸氏

ブロードバンド その他
サイバートラスト技術本部プロフェッショナルサービス部SIグループグループリーダーの渡辺弘幸氏
  • サイバートラスト技術本部プロフェッショナルサービス部SIグループグループリーダーの渡辺弘幸氏
  •  PCとインターネットの歴史は、新たな犯罪とそれに対するセキュリティ対策の歴史でもある。セキュリティプロバイダとして知られるサイバートラストでマネージドPKIを手がける渡辺弘幸氏に話を聞いた。
  •  PCとインターネットの歴史は、新たな犯罪とそれに対するセキュリティ対策の歴史でもある。セキュリティプロバイダとして知られるサイバートラストでマネージドPKIを手がける渡辺弘幸氏に話を聞いた。
 PCとインターネットの歴史は、新たな犯罪とそれに対するセキュリティ対策の歴史でもある。インターネットの普及とともに、データの盗聴やなりすまし、フィッシング詐欺など、次々と新たなサイバー犯罪が生まれてきた。こうした犯罪に対する対策は、いまや企業にとっての必須項目だ。SSLサーバ証明書やクライアント証明書など、セキュリティを専門に扱う企業も数多くある。
 
 サイバートラストもそうしたセキュリティプロバイダの1つだ。インターネット黎明期の1995年に創業し、すでに10年以上セキュリティを扱っている。主力サービスとして、SSLサーバ証明書であるSureServer for SSL/SureServer EVや、認証局システムのASPサービスであるマネージドPKI(MPKI)を提供している。サイバートラストの技術本部プロフェッショナルサービス部SIグループグループリーダーの渡辺弘幸氏が手がけているのはサイバートラストマネージドPKI(MPKI)と呼ばれるソリューションだ。「PKIというシステム自体は、システム管理を行うような人たちにはすでにその良さが浸透しています。でも、実際に導入するにはいろいろと煩わしい作業や時間が必要でした。サイバートラスト マネージドPKIはその工程を簡略化して、より簡単に、早く、導入してもらうシステムです」。
 
 では、そもそもPKIとはどういったシステムなのだろうか。
 
■信頼を肩代わりするサービス
 PKIの正式名称は「Public Key Infrastructure」、日本語では公開鍵暗号基盤などと訳されることもある。大ざっぱに言えば、公開鍵と秘密鍵という2つの鍵を使って暗号化/復号化する技術のことだ。
 
 PKIという技術は、電子メールの暗号化や電子署名、SSLクライアント認証やSSLサーバ認証など、様々な用途に利用されている技術だが、もっともよく知られているのはSSLサーバ証明書の例だろう。インターネットなどを通じてデータのやりとりをする場合、通信の途中で第三者に盗聴されたり、別のユーザーになりすまされてしまう可能性がある。そこで、サーバとユーザーの間でやりとりするデータを暗号化する必要が出てくる。このとき、もっとも単純な方法は、暗号化されたデータを復元(復号)するために、お互いに同じ鍵を使用することだ。しかし、この場合、やりとりをする相手が増えるたびに鍵を増やさなければならない上、そもそも鍵を安全に相手に渡す方法を考えなくてはならない。鍵の受け渡しの際にデータを盗まれてしまえば何の意味もなくなってしまうためだ。
 
 そこで、PKIでは公開鍵と秘密鍵という2つの鍵を組み合わせて暗号化している。ユーザーにはそのサーバが正しいサーバであるという証明書と一緒に公開鍵を配付する。これに対し、サーバ側はどこにも公開されていない秘密鍵を所持し、その鍵を使って通信を行うという方法だ。この方法では、ユーザーから送るデータは公開鍵を使って暗号化するのだが、それを解読するには秘密鍵が必要になる。こうしておけば、たとえ暗号化されたデータを誰かに盗まれても、それを解読するための秘密鍵が盗まれない限りは、暗号を解読することはできない。そのため、データを盗む意味がなくなるのだ。これがPKIの基本的な仕組みだ。

 ただし、このときもうひとつ問題になるのが、サーバと証明書自体の信頼性だ。たとえば、身分証明書は確かにその人がその人であることを証明してはくれる。だが、初対面の相手の名前がわかったとしても、それだけではその相手が信頼に足る人物かどうかは判断することができない。身分を明かしているだけで、詐欺を行うつもりでいる人物かもしれないということだ。サーバから配付される証明書は、いわばこの身分証明書と同じだ。証明書と公開鍵のセットは、認証局というところから発行されるのだが、この認証局はソフトウェアさえあれば誰でも使うことができる。つまり、自分が自分であるという証明書を、自分で作って配付することができるのだ。こうしたいわゆる「オレオレ証明書」では、Aというサーバが間違いなくAというサーバであることは証明してくれるが、そのサーバが信頼できるサーバであるかどうかは証明できない。そこで第三者による認証局が必要になる。つまり、そのサーバに実体があり、確かに信用できるものであるということを公正で信頼できる誰かが証明し、本人に代わって証明書を発行する必要があるというわけだ。同社のSSLサーバ証明書SureServer for SSL / SureServer EVでは、このサーバが間違いなくAというサーバであり、信頼された組織・企業が運営しているという厳密な審査を経て発行している。
 
 認証局を構築することは知識があれば難しくない。認証局を構築し限定された範囲での証明書の利用は一般的に行われている。「ただ、サーバ証明書のように広く一般の方に利用する場合、パソコン、携帯電話、地デジTVなどのITプラットフォーム機器に、公開鍵(ルート証明書)があらかじめ搭載されている必要があります。一般の方にいちいち証明書をインストールしてもらうのでは普及しません。5年前の携帯電話からでも安心してインターネットをしてもらうためには5年前から携帯電話メーカーにルート証明書を搭載してもらっている必要があります」。信頼と実績のもと長年証明書ビジネスを行っている認証事業者の必要性がここにある。「サイバートラストは、ほとんど全てのパソコンや携帯電話にプリインストールされているOmniRoot証明書を所有しているため、他の認証事業者と大きく差別化されており、これがSSLサーバ証明書マーケットで支持されている大きな理由です」と渡辺氏は指摘する。


■完成度の高いシステムを簡単に
 サイバートラストが提供しているのは、こうしたPKIによる証明書の発行システムだ。インハウスで丸ごと構築するのではなく、ASPのようにハードウェアでなく、サービスとして認証局のシステムを提供する形だ。だが、従来のPKIの導入はそれほど単純ではなかったという。顧客によって必要なシステムや、証明書の利用用途や配付方法が異なるためだ。
 
 デジタル証明書は一般的にはサーバやインターネットの通信で利用されているのを目にすることが多いが、実は現在ではさまざまな方法で活用されている。たとえば、証明書データと秘密鍵をICカードなどに組み込めば社員証などに利用することができる。あるいはPCなどの機器に対して証明書を発行して組み込んでおけば、ネットワークへの接続などの認証システムとして使用することができる。また、メールなどに証明書にて電子書名を付けて送ることもできる。メールの送信元の身分を保証するためだ。もちろん、サーバに入れればSSLサーバ証明書になる。
 
 どのケースでも、認証局から証明書を発行するという目的は変わらない。だが、証明書をどういった形で個別のユーザーに渡すかはさまざまなパターンがある。社員証の場合なら、ユーザーそれぞれが作るよりも、システム管理者が一斉に申請を行って、一斉に作ってしまう方がいい。機器認証などの場合なら、ユーザーが個別で申請を行って登録していく方法がスマートだろう。そういった異なる証明書の配付方法に毎回個別に対処していたのでは、手間がかかってしまう。そこで登場したのがマネージドPKIというソリューションだ。
 
 サイバートラストマネージドPKIでは、証明書の利用用途や証明書の発行方法をパターン化して、その中から選択してもらう形をとっている。証明書の配布方法では、よく利用される以下の4パターンを提供している。

パターン1 【管理者一括申請・一括取得】
オペレータ(管理者)が一括申請データを作成し、そのデータを利用して証明書の一括発行申請と一括取得を行い、オペレータによって各ユーザーに証明書が配付されることを想定したパターン。
パターン2 【管理者一括申請・ユーザー個別取得】
オペレータ(管理者)が一括申請データを作成し、そのデータを利用して証明書の一括発行申請を行い、その後各ユーザーが個別に証明書を取得するパターン。
パターン3 【ユーザー個別申請・個別取得パターン(管理者承認型)】
ユーザーが個別に証明書発行申請を行い、オペレータ(管理者)がその申請を承認後、個別に証明書を取得するパターン。
パターン4 【事前承認・ユーザー個別申請・個別取得】
オペレータ(管理者)が事前承認データを作成し、そのデータを登録する。その後、各ユーザーが個別に申請を行い、証明書を取得するパターン。

「従来の方法だと、顧客の要望を聞いて、それに対応する形で配付システムを考えて、という形をとっていました。そのため、認証局の構築までに時間もかかったし、その分コストもかかった。本当によく使う4種類の方法に絞って提供することで、より簡単に早く提供することができるようになっています。もちろん、その分こちらの行う工程数も減りますから、コストダウンにもなります」。
 
 渡辺氏の現在の仕事は、こうしたシステムの開発ではなく、提案や進行の管理といったものだ。渡辺氏が携わった事例には、慶應義塾大学でのサイバートラストマネージドPKI採用などもある。仕事の内容は提案という形になったが、仕事のやりがい自体は、SEとしてシステム構築を行う場合と同じだという。渡辺氏は「やはりシステムを導入して、顧客に『高セキュリティで使いやすいね』と喜んでもらえたときが一番うれしいです」という。
 
■あらゆる場面にセキュリティを
 PKIは複雑なシステムで、一般的にはまだまだ知られていない。しかし、実際にはすでにさまざまなところで導入されており、システム管理者などITシステムに関わる人々の間では、その有効性がかなり浸透しているという。「システム管理に関わっている人は、かなりの人がPKIがどれほど高セキュリティなシステムか知っています。問題は、それをどれだけ簡単に導入、運用できるかということなんです」と渡辺氏は指摘する。サイバートラストマネージドPKIは、そのための方法の1つだ。
 
 また、渡辺氏は「PKIが普及すればIDとパスワードに代わる新たな認証のスキームになる」と述べる。常に盗用や紛失の危険性がつきまとうIDやパスワードに対し、証明書は一度導入すれば簡単・確実にセキュリティを確保できる。「昔はネットワークにつながっているものといえばPCくらいでしたが、現在ではゲーム機やカメラなど、さまざまなものがネットにつながっています。そうした機器の認証にも今後もっと採用されていくのではないでしょうか」。
 
 PCでのセキュリティの必要性は、多くの人に浸透している。しかし、携帯電話などのPC以外のネットワークに接続している機器では、まだまだセキュリティの意識は低い。渡辺氏が目指す簡単で安全なPKIは、PCだけでなくネットワークのあらゆる場面で活用できるシステムなのだ。
《小林聖》

関連ニュース

特集

page top