PKIを立ち上げてみよう！

特集　PKI導入の手引き

Part.1　PKIを立ち上げてみよう！（1）
～PKIの設計から運用開始まで～

内田昌宏
ネットマークス
2000/8/28

■1. 「PKI」とはどのようなものか？

　最近「PKI（Public Key Infrastructure：公開鍵基盤）」という言葉をよく耳にする。企業間取り引きでインターネットを利用する際につきまとう、なりすましや盗聴、改ざんといったリスクに対して、これを回避する方法として注目されているのが、電子署名と暗号技術を兼ね備え、安全な業務上の電子通信を確保できるPKIソリューションである。PKIの活用により、企業（組識）では、

機密性のある通信：データの盗聴を防ぎ、かつ意図した特定の相手のみがデータを読める
相互認証：受信側にとって、送信側が確実に当人であることを保証する
否認防止：送信側がデータを作成・送信したことを否定できない
完全性：通信の間にデータが改竄されていないことを保証する、

といったメリットを享受できるようになった。

　PKIシステムとは、鍵と証明書のライフサイクル管理を行なう共通鍵暗号とディジタル署名により成り立つものであり、認証機関（CA：Certificatiion Authority）を含む以下の基本要素を含んだものと定義することができる。

鍵と証明書ライフサイクル管理
認証機関（CA）機能
登録機関（RA：Registration Authority）機能
証明書の保管、運用管理用ディレクトリの維持
完全な証明書失効システム
鍵のバックアップとリカバリの仕組み
タイムスタンプ機能

【閑話休題 1】

●GPKI（Government PKI）：政府認証基盤
　行政情報化推進基本計画閣議決定を踏まえて、政府が2001年の電子署名法で施行運用を目標に、民間が政府に対する許認可の申請、登録および届出などに電子署名を付加し、提出するための政府認証基盤。GPKIの相互認証構成としてはブリッジ型CAを配置し、政府ルート認証機関および民間認証機関（資格認定を受ける必要あり）を相互認証する。これにより、Peer-to-Peer型の煩雑な相互認証を解決することができる。日本以外の国については、下記のWebを参照。

　PKIシステムは、認証局から証明書を発行する仕組みであり、発行した証明書が利用者にとって信頼できるものでなければならない。このためセキュリティをはじめとする、さまざまなコントロールが必須である。技術的・システム的なコントロールだけでなく、業務運営上のコントロールについて、十分に検討し、これを実行しなければならない。これを怠ると、発行した証明書の信頼性が低下することになる。

　本稿ではPKIの技術的な仕組みは割愛し、実際にパブリック認証局を立ち上げた経験から、PKIシステムを設計、運用するまでのステップと留意点について記述する。なお認証局には、「パブリック」と「プライベート」があるが、対外的な取引などを対象としたパブリック認証局について記述する。

■2. 作業ステップを検討する

　PKIシステムを立ち上げるまでのステップを以下に整理した。

作業ステップ	作業項目	成果物
1.サービス設計	・電子認証業務における基本方針策定・サービスモデルの明確化・サービス対象と範囲の決定・コストと利益の把握・サービスインまでのマスタスケジュール	サービス基本設計書
2.運用設計	・証明書発行手順（新規、更新、廃棄など）・運用体制
3.システム設計	・電子認証システム機能設計・セキュリティ要件	システム機能設計書セキュリティ要件書
4.CPSの作成	・CP（Certificate Policy：証明書ポリシ）の決定・CPS（Certification Practice Statement：認証実施規定）の策定	CPS サービス約款
5.認証局設立	・PKIシステム構築・試験・物理的セキュリティ・認証局運用管理担当者への教育	システム完成図書
6.認証局運営	・基本契約書、個別契約書・証明書申請書・システム監査

　ここで重要なのは、

サービスモデル：どのような証明書を発行するのか、証明書を発行する対象はなにか
サービスレベル：発行する証明書の信頼性をどこまで確保するのか
運用手順と体制：信頼性を確保するための体制やルールをどうするのか

を決め、その証として

CP（Certificate Policy）：証明書ポリシ
CPS（Certification Practice Statement）：認証実施規定

を策定することである。

　特にCPSは、対外的に信頼性をコミットする意味で一般に公開しなければならず、同時に認証局の運営ポリシとして、これを遵守・実行しなければならない。

【閑話休題 2】

●CP（Certificate Policy）：証明書ポリシ
　認証機関（CA）が証明書を発行する時のポリシ。 X.509 v3の拡張フィールドで規定する。証明書ポリシとは証明書を特定のコミュニティやアプリケーションに共通のセキュリティ要件に沿って、適用する規則である。CPが何を（What）ポリシとするかを決めるのに対して、CPSはどのように（How）ポリシを適用するのかの手順を示すものとなる。

【閑話休題 3】

●CPS（Certification Practice Statement）：証明実施規定
　信頼される第三者機関が認証を利用する者に対して、信頼性、安全性および経済性などを評価できるように認証機関のセキュリティ・ポリシ、責任や義務、約款および外部との信頼関係などに関する詳細を規定した文書。信頼される第三者機関は、このCPSを公開する必要がある。一般的に企業内で運営される認証サービスは、証明書発行部門と呼び、セキュリティ・ポリシで定義される。
　CPSには、電子認証システムにおけるインフラストラクチュア／証明書の特性／証明手続き運営に関する項目と要件／／認証局における鍵管理／証明書申請手続き／証明書申請の審査／証明書発行／証明書の使用／証明書の効力停止および失効／証明書の有効期間の満了／発行機関の義務と責任／監査、などが記載される。
　標準的CPSとしては、

Network Working Group Request for Comments: 2527
「Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework」
電子商取引実証推進協議会（ECOM）認証局検討ワーキンググループ
「認証局運用ガイドライン」

などがある。

　なお、各ステップのおおよそのスケジュールは以下のとおりである。

Index
特集　PKI導入の手引き Part.1～PKIを立ち上げてみよう！
	イントロダクション　1.PKIとはどのようなものか？　2.作業ステップを検討する
	検討～導入～運用まで　3.サービスモデルとサービスレベル　4.証明書にかかわる当事者の関係　5.人員構成の検討　6.証明書のライフサイクルと鍵管理　7.セキュリティ対策
	認証実施のフレームワーク　8.CPS：認証実施規定
次回、実際の「運用編」を公開！

「Master of IP Network総合インデックス」

Master of IP Network フォーラム新着記事

完全HTTPS化のメリットと極意を大規模Webサービス――ピクシブ、クックパッド、ヤフーの事例から探る （2017/7/13）
　2017年6月21日、ピクシブのオフィスで、同社主催の「大規模HTTPS導入Night」が開催された。大規模Webサービスで完全HTTPS化を行うに当たっての技術的、および非技術的な悩みや成果をテーマに、ヤフー、クックパッド、ピクシブの3社が、それぞれの事例について語り合った
ソラコムは、あなたの気が付かないうちに、少しずつ「次」へ進んでいる （2017/7/6）
　ソラコムは、「トランスポート技術への非依存」度を高めている。当初はIoT用格安SIMというイメージもあったが、徐々に脱皮しようとしている。パブリッククラウドと同様、付加サービスでユーザーをつかんでいるからだ
Cisco SystemsのIntent-based Networkingは、どうネットワークエンジニアの仕事を変えるか （2017/7/4）
　Cisco Systemsは2017年6月、同社イベントCisco Live 2017で、「THE NETWORK. INTUITIVE.」あるいは「Intent-based Networking」といった言葉を使い、ネットワークの構築・運用、そしてネットワークエンジニアの仕事を変えていくと説明した。これはどういうことなのだろうか
ifconfig　～（IP）ネットワーク環境の確認／設定を行う （2017/7/3）
　ifconfigは、LinuxやmacOSなど、主にUNIX系OSで用いるネットワーク環境の状態確認、設定のためのコマンドだ。IPアドレスやサブネットマスク、ブロードキャストアドレスなどの基本的な設定ができる他、イーサネットフレームの最大転送サイズ（MTU）の変更や、VLAN疑似デバイスの作成も可能だ。