検索
連載

PKI(Public Key Infrastructure)とは

PKIは、公開鍵暗号の技術を利用して暗号化や電子署名の機能を提供するセキュリティ基盤である。

Share
Tweet
LINE
Hatena

 PKIは、公開鍵暗号の技術を利用して暗号化や電子署名の機能を提供するセキュリティ基盤である。「公開鍵が正しいものか」を判断する仕組みが、その中心にある。TLSやVPNなどのアプリケーションからPKIを利用することで、なりすましや盗聴、改ざんといったリスクを取り除くことができる。

 PKIの活用により、ユーザーは下記のようなメリットを享受できるようになった。

  • 機密性のある通信
    データの盗聴を防ぎ、かつ意図した特定の相手のみがデータを読める
  • 認証
    受信側にとって、送信側が確実に当人であることを保証する
  • 否認防止
    送信側がデータを作成、送信したことを否定できない
  • 完全性
    通信の間にデータが改ざんされていないことを保証する

 PKIでは認証局(CA)が公開鍵に電子署名を施した公開鍵証明書を発行。さまざまなアプリケーションで公開鍵をやりとりする際に、この公開鍵証明書を検証して「公開鍵証明書が信用できるものであるか」を判断する。

 公開鍵証明書の信頼性を保つために、PKIには公開鍵証明書のライフサイクル管理が行われる。そのライフサイクル管理の一環として公開鍵証明書には有効期限が設けられ、信頼性が失われた証明書の失効情報を通知する仕組みがある。証明書の失効を通知する方法には、認証局が証明書失効リストを公開する「CRL(Certificate Revocation List)」モデルと、失効情報を持ったサーバにクライアントが失効情報を問い合わせる「OCSP(Online Certificate Status Protocol)」モデルがある。

 PKIでは、認証局が他の認証局のCA証明書を発行することで認証局同士の信用関係を作ることができる。これを利用して、公開鍵証明書の発行元認証局を認証し、またその認証局自体の証明書の発行元を認証し……というのを繰り返すことができる。

 「認証の繰り返しで作られる認証パスが、最終的に自分が信用した認証局までたどり着けたら、その公開鍵証明書は信用する」という仕組みで証明書を検証できる。この検証における自分が信用している認証局を「信用点」と呼ぶ。この信用点や認証パスの構築法には幾つかモデルがある。

 例えば、WebブラウザにおけるHTTPS通信で採用されているWebモデルでは、OSやブラウザが内蔵する、信用するルート認証局一覧のどれかの認証局にたどり着ければ、その証明書は信用できると判断する。そのため、ルート認証局が偽の証明書を発行してしまった際の影響は非常に大きく、認証局運用規定(CPS:Certification Practice Statement)を厳密に守る必要がある。

関連用語

VPN
なりすまし
改ざん

■更新履歴

【2004/1/1】初版公開。

【2017/12/4】最新情報に合わせて内容を書き直しました(セキュリティ・キャンプ実施協議会 著)。


Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  2. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  3. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  4. Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
  5. NIST、3つのポスト量子暗号(PQC)標準(FIPS 203〜205)を発表 量子コンピュータ悪用に耐える暗号化アルゴリズム、どう決めた?
  6. 金融機関のシステム障害は何が原因で発生しているのか 金融庁が分析レポートを公開
  7. 6年間でAndroidにおけるメモリ安全性の脆弱性を76%から24%まで低減 Googleが語る「Safe Coding」のアプローチと教訓とは
  8. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  9. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  10. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
ページトップに戻る