Technology
テクノロジー
電子証明書を使ったセキュアなクライアント認証のしくみ
前3回にわたって、盗んだ ID やパスワードを使う「なりすまし」を防ぐ認証強化のしくみとして、「ワンタイムパスワード(OTP)」と「リスクベース認証」を紹介しました。また、OTP は ID とパスワードといった「知っていること」のみによる認証とは異なり、「持っていること」を条件に加える2要素認証という認証方式であるとお話しました。銀行の現金自動預払機(ATM)でも、利用には「キャッシュカード(=持っていること)」と「暗証番号(=知っていること)」の2つが必要であり、考え方としては同じです。
インターネットの世界における2要素認証として、OTP と共によく使われるのが「電子証明書」です。
今回は、この電子証明書を使った2要素認証について、そのしくみと利用シーンを説明します。
電子証明書は、現実世界における運転免許証のように、組織や個人の身分を証明するための技術です。これは PKI(Public Key Infrastructure)と呼ばれるセキュリティ基盤技術に基づいており、この電子証明書を発行する機関を「認証局」といいます。ベリサインはこの認証局の運営も行っています。
PKI とは、「公開鍵暗号技術」を用いたシステム基盤(インフラ)です。ここでは公開鍵暗号技術の詳細は説明しませんが、「公開鍵と秘密鍵のという2つの鍵」(鍵ペア)を使うということが重要です。この鍵ペアを用いてデータの暗号化・復号や電子署名を行います。公開鍵は、認証局から署名された上で、「電子証明書」という形式で公開しますが、秘密鍵は「電子証明書が発行された本人しか持たない」ことがポイントとなります。
電子証明書は以前述べた SSL でも使われている技術です。SSL で使われる証明書を「SSL サーバー証明書」と呼び、今回の2要素認証で使用する証明書は「クライアント証明書」と呼びます。
2要素認証は、通常のクライアント認証に「持っていること」という要素を追加することといいましたが、クライアント証明書を使う場合には、PKI が前提としている「秘密鍵を本人しか持っていない」ことがセキュリティを担保することになります。
Web サーバーに導入する SSL サーバー証明書と相互認証するための、「SSL クライアント認証」と呼ばれる実装において、実際にどのような認証動作になるか見てみましょう。SSL クライアント認証では、ユーザーが Web サイトにアクセスすると、以下のようなダイアログが表示されます。
これは、どの電子証明書を使ってログインするかを選択させる、ブラウザ標準のダイアログです。ここで自分が使う証明書を選択すると、通常はパスワードが聞かれ、Web サーバーとブラウザの間で相互認証が行われ、正しく本人確認ができればログインができます。実はこの作業の裏では、クライアントに格納されている「本人しか持っていない秘密鍵」(=持っていること)が使われ、秘密鍵を使うためのパスワード(=知っていること)が聞かれています。
2要素認証には、以前紹介した OTP を使う場合もありますが、OTP は各ベンダー独自の方式で成り立っており、一方の PKI は RFC(※)などで標準化された技術であるという点が大きく異なります。PKI はオープンな標準技術であり、証明書を発行する認証局の運用規定も公開されていることから、セキュリティに関してより高い信頼性が保てるといわれています。
※インターネットで利用される技術の標準化団体による技術仕様の保存、公開形式のこと。
OTP とクライアント証明書は、利用シーンによって使い分けるべきです。クライアントの認証を強化する目的なら、OTP でも十分なセキュリティ強化が期待できますし、利便性も損なわれません。それに対して、さらに高いレベルのセキュリティ強化が必要な場合や、PDF などのファイルへの電子署名、電子メールの署名・暗号化などが必要な場合は、1枚の電子証明書ですべて実現できるクライアント証明書が適しているでしょう。
電子証明書は、IC カードや USB トークンなどに格納して携帯性を持たせ、外出先から社内システムへのログインなどに使うことも可能ですが、それとは反対に、電子証明書を格納した端末(PC)から電子証明書を取り出せないようにすることも可能です。「サービスにアクセスする端末を限定」することで、高いセキュリティレベルを確保することができます。
現在、クライアント証明書による認証強化は、主に銀行などの金融機関で採用例が多くなっています。特に法人向けのインターネットバンキングサービスでは、上述の利用できる端末を限定してサービスを提供したいために、使用する特定のクライアント PC に電子証明書を導入するケースが増えています。いわゆるメガバンクをはじめ、地方銀行、第2地方銀行でも採用が加速しています。
また、今回扱った Web サイトへの認証とは用途が異なりますが、電子署名法に基づいた電子データへの署名でも電子証明書が使われます。これによって電子データでも正式な文書として認められるようになり、ペーパーレス化や、収入印紙が不要になることでコスト削減が可能です。このように、幅広い用途で使えることも電子証明書の特徴です。
以上をまとめると、より高いセキュリティレベルを確保したい場合や、クライアント認証以外に電子署名やメール暗号化といった複数の目的がある場合は、クライアント証明書が最適なソリューションとなるといえます。
次回は、クライアント証明書を発行する認証局について説明します。
(日本ベリサイン株式会社 プロダクトマーケティング本部 IAS マーケティング部 釜池聡太)
インターネットの世界における2要素認証として、OTP と共によく使われるのが「電子証明書」です。
今回は、この電子証明書を使った2要素認証について、そのしくみと利用シーンを説明します。
 |
| 二要素認証のしくみ |
PKI とは、「公開鍵暗号技術」を用いたシステム基盤(インフラ)です。ここでは公開鍵暗号技術の詳細は説明しませんが、「公開鍵と秘密鍵のという2つの鍵」(鍵ペア)を使うということが重要です。この鍵ペアを用いてデータの暗号化・復号や電子署名を行います。公開鍵は、認証局から署名された上で、「電子証明書」という形式で公開しますが、秘密鍵は「電子証明書が発行された本人しか持たない」ことがポイントとなります。
 |
| 公開鍵暗号基盤(PKI)の概念図 ボブとアリスの暗号通信 |
2要素認証は、通常のクライアント認証に「持っていること」という要素を追加することといいましたが、クライアント証明書を使う場合には、PKI が前提としている「秘密鍵を本人しか持っていない」ことがセキュリティを担保することになります。
Web サーバーに導入する SSL サーバー証明書と相互認証するための、「SSL クライアント認証」と呼ばれる実装において、実際にどのような認証動作になるか見てみましょう。SSL クライアント認証では、ユーザーが Web サイトにアクセスすると、以下のようなダイアログが表示されます。
 |
| SSL クライアント認証のダイアログ |
これは、どの電子証明書を使ってログインするかを選択させる、ブラウザ標準のダイアログです。ここで自分が使う証明書を選択すると、通常はパスワードが聞かれ、Web サーバーとブラウザの間で相互認証が行われ、正しく本人確認ができればログインができます。実はこの作業の裏では、クライアントに格納されている「本人しか持っていない秘密鍵」(=持っていること)が使われ、秘密鍵を使うためのパスワード(=知っていること)が聞かれています。
2要素認証には、以前紹介した OTP を使う場合もありますが、OTP は各ベンダー独自の方式で成り立っており、一方の PKI は RFC(※)などで標準化された技術であるという点が大きく異なります。PKI はオープンな標準技術であり、証明書を発行する認証局の運用規定も公開されていることから、セキュリティに関してより高い信頼性が保てるといわれています。
※インターネットで利用される技術の標準化団体による技術仕様の保存、公開形式のこと。
OTP とクライアント証明書は、利用シーンによって使い分けるべきです。クライアントの認証を強化する目的なら、OTP でも十分なセキュリティ強化が期待できますし、利便性も損なわれません。それに対して、さらに高いレベルのセキュリティ強化が必要な場合や、PDF などのファイルへの電子署名、電子メールの署名・暗号化などが必要な場合は、1枚の電子証明書ですべて実現できるクライアント証明書が適しているでしょう。
電子証明書は、IC カードや USB トークンなどに格納して携帯性を持たせ、外出先から社内システムへのログインなどに使うことも可能ですが、それとは反対に、電子証明書を格納した端末(PC)から電子証明書を取り出せないようにすることも可能です。「サービスにアクセスする端末を限定」することで、高いセキュリティレベルを確保することができます。
現在、クライアント証明書による認証強化は、主に銀行などの金融機関で採用例が多くなっています。特に法人向けのインターネットバンキングサービスでは、上述の利用できる端末を限定してサービスを提供したいために、使用する特定のクライアント PC に電子証明書を導入するケースが増えています。いわゆるメガバンクをはじめ、地方銀行、第2地方銀行でも採用が加速しています。
また、今回扱った Web サイトへの認証とは用途が異なりますが、電子署名法に基づいた電子データへの署名でも電子証明書が使われます。これによって電子データでも正式な文書として認められるようになり、ペーパーレス化や、収入印紙が不要になることでコスト削減が可能です。このように、幅広い用途で使えることも電子証明書の特徴です。
以上をまとめると、より高いセキュリティレベルを確保したい場合や、クライアント認証以外に電子署名やメール暗号化といった複数の目的がある場合は、クライアント証明書が最適なソリューションとなるといえます。
次回は、クライアント証明書を発行する認証局について説明します。
(日本ベリサイン株式会社 プロダクトマーケティング本部 IAS マーケティング部 釜池聡太)
記事提供:日本ベリサイン
New Topics
Special Ad
| ウマいもの情報てんこ盛り「えん食べ」 | |
 |
「えん食べ」は、エンジョイして食べる、エンターテイメントとして食べものを楽しむための、ニュース、コラム、レシピ、動画などを提供します。 てんこ盛りをエンジョイするのは こちらから |
Hot Topics
IT Job
今週のIT求人情報
その他 IT求人情報はこちら
Interviews / Specials
Follow japan.internet.com
ネット選挙
Popular
Access Ranking
Partner Sites