DocuTracker 電子帳簿保存法対応

ナレッジ

ナレッジ デジタル証明書関連

デジタル証明書とはどんなもの?仕組みや用途、種類を解説

改ざんや盗取、なりすましといった危険は、Webサイトやオンラインでやり取りするデータには常について回ります。デジタル証明書は、そのようなインターネット上でのデータのやり取りを安全に行うために必要な技術です。本記事ではデジタル証明書について、仕組みや用途、種類を解説します。




デジタル証明書とは


デジタル証明書は、データやWebサイトなどが「正当なものであること」を証明する電子的な証明書です。インターネット上では、データを盗取されたり改ざんされたりすることも起こりえます。デジタル証明書はデータの正当性を証明するとともに、データやWebの改ざんや盗取、他人によるなりすましを防ぐために活用されています。



暗号化技術とデジタル証明書の関係

暗号化技術で広く用いられているのは、公開鍵暗号方式です。公開鍵暗号方式では、誰でも手に入る「公開鍵」とデータの持ち主だけが保有する「秘密鍵」という、ペアとなる鍵を用います。情報の暗号化に公開鍵や秘密鍵を使い、ペアとなる公開鍵・秘密鍵を持つ人が、情報を復号化できるという仕組みです。たとえば文書へのデジタル署名では、文書内容から関数で計算された値(ハッシュ値)を秘密鍵で暗号化し、送付された文書を受け取った人が公開鍵で復号。その内容が一致すれば本物と判断する、という手順を踏みます。

しかしこれだけでは、そもそも用いる公開鍵が本当に正しいのか判断できません。公開鍵が正しいのかわからなければ、当然データの正当性もなくなります。そこで公開鍵が正しく本人のものであること、すなわちデジタル署名が本物であることを証明するために用いられるのが、デジタル証明書です。デジタル証明書の発行は、「認証局(CA:Certificate Authority)」という第三者機関が行うため、客観的に正当性を証明できます。
デジタル署名とデジタル証明書は、いわば印鑑と印鑑証明のような関係性といえます。


デジタル証明書の主な用途

デジタル証明書は、次のような目的で用いられています。


<Webサイトの認証>

SSL通信(Secure Sockets Layer)やTLS(Transport Layer Security)通信を行っているWebサイトが、信頼できるサイトであることを証明します。SSL通信・TLS通信は、いずれも、ユーザーのWebブラウザとWebサイトのサーバーとの間で通信を暗号化して送受信する技術で、TLSは一言で言えばSSLの進化版の技術です。


  • ・データの暗号化
    送受信したいデータの内容を暗号化する際にも、デジタル署名やデジタル証明書が利用されています。これにより第三者によるデータの改ざんや盗取を防止することが可能です。

  • ・電子メールのセキュリティ
    電子メールにおいてもデジタル署名やデジタル証明書を用いることで、送信元の偽装やメール内容の漏えいといったリスクを低減できます。

  • コード署名(コードサイニング)
    ソフトウェアの開発においては、開発者がプログラムにデジタル署名を行い、そのプログラムが改ざんされていないことを証明します。これを「コード署名」または「コードサイニング」といいます。

  • ・ユーザー認証
    ユーザー認証は、許可された者のみ利用できるネットワークへアクセスを行う際に、正当なユーザーであることを証明するものです。サーバーやアプリケーションへのログイン認証も可能にします。

      • デジタル証明書の主な種類


      デジタル証明書には以下のような種類があります。



      SSL/TLS証明書

      SSL/TLS証明書は、SSL通信やTLS通信を行うWebサイトの信頼性を証明するものです。「サーバー証明書」「SSLサーバー証明書」などと呼ばれることもあります。SSL/TLS証明書によってWebサイトが実在することや所有者の証明、および暗号化通信が可能となります。


      コード署名証明書(コードサイニング証明書)

      コード署名証明書(コードサイニング証明書)は、ソフトウェアの開発者がプログラムに署名するための証明書です。ソフトウェアの配布元を保証し、なりすましや内容の改ざんを防ぐ役割を果たします。より信頼性の高いコード署名証明書としては、「EVコードサイニング証明書」があります。EVコードサイニング証明書は、世界規模でデジタル証明書に関する活動を行っている「CA/Browserフォーラム」が定める厳密な基準に則ったもので、Microsoftからも認定されている証明書です。


      S/MIME証明書

      「S/MIME(Secure / Multipurpose Internet Mail Extensions)」は、電子メールの暗号化とデジタル署名を行うための技術です。電子メールは、受信者に届くまでに複数のサーバーを経由するため、悪意のある第三者に盗み見られるおそれがあります。S/MIME証明書(電子メール証明書)を取り入れることで、メールの内容が変更されていないことや、デジタル署名の正当性が証明できます。


      クライアント証明書

      「クライアント証明書は、情報システムやメールなどを利用するユーザーが、PCなどのデバイスにインストールし、ユーザーやデバイスが正規なものであることを証明するものです。また、クライアント証明書を用いて、情報システムへのログイン方法を強化することも可能です。たとえばID/パスワードの入力不要でシステムへログインできるようにするほか、ID/パスワードと併用した二要素認証の実装などができます。


      ルート証明書

      ルート証明書は、認証局のなかでも最上位の機関であるルート認証局が、自身に対して発行する証明書のことです。認証局は大きく、ルート認証局と中間認証局の2種類に分かれます。そのうちルート認証局が自身を信頼できる機関であると証明するのがルート証明書です。


      中間証明書

      中間証明書は、ルート認証局が中間認証局の正当性を証明するためのものです。中間認証局はルート認証局と違って自身の正当性を自分では証明できません。そのため、上位の認証局であるルート認証局に「中間証明書」と呼ばれる証明書を発行してもらいます。


      デジタル証明書の仕組み|発行~利用までの流れ


      デジタル署名を例として、デジタル証明書発行の基本的な流れを紹介します。


      1.鍵の生成

      サーバー側が、公開鍵と秘密鍵のペアを生成します。その後、決められたフォーマットで認証局に公開鍵や識別情報を送付します。


      2.証明書の発行

      認定局は厳正に審査し、認証局の秘密鍵で発行したデジタル署名を付けてデジタル証明書を発行します。同時に、認証局内にあるデジタル証明書を保管するデータベースである「リポジトリ」にもデジタル証明書の情報が登録され、公開されます。


      3.デジタル証明書の受け取り

      サーバーは受け取ったデジタル証明書を、自身のサーバーへインストールします。またサーバーにアクセスするクライアントも、認証局の公開鍵が含まれたデジタル証明書を受け取ります。


      4.正当性確認

      サーバーがクライアントに、認証局の秘密鍵がついたデジタル証明書を送付します。クライアントは認証局の公開鍵が含まれたデジタル証明書で、デジタル署名の復号を行います。それらの内容が一致すれば、正当性が証明されたということになります。


      デジタル証明書の注意点


      デジタル証明書を運用するにあたっては、下記3点に注意する必要があります。


      • ・信頼できる認証局から証明書を取得する
      • ・秘密鍵を保護する
      • ・有効期限を管理する


          • 信頼できる認証局から証明書を取得する

          認証局はデジタル署名の種類によって、パブリック認証局とプライベート認証局と2種類に分かれます。パブリック認証局は公に正当性を証明することが可能で、プライベート認証局は社内システムなど一部に対する限定的な効力を持っています。Webサイトでデジタル証明書を運用する場合には、パブリック認証局を利用します。知名度と信頼性をあわせ持つパブリック認証局はコストが高くなりがちですが、その分Webサイトが発信する情報が信用できるものになります。


          暗号鍵を保護する

          暗号鍵を保護する仕組みを作ることも重要です。仮に秘密鍵が漏えいすると、暗号化の仕組みが成り立たず情報がセキュリティ上の脅威にさらされることになり、なりすましやデータ改ざんなどの被害がもたらされるおそれもあります。
          悪意ある第三者の視点からすると、鍵生成に使われる高度な暗号アルゴリズムを解読するよりも、秘密鍵そのものを盗取するほうが攻撃の難易度としては簡単です。したがって、暗号鍵の安全な保管や運用にも着目し、暗号鍵管理システム(CKMS:Cryptographic Key Management System)を構築する必要があるのです。
          なお、暗号鍵管理システムの設計指針となる「暗号鍵管理ガイドライン」は、独立行政法人 情報処理推進機構(IPA)が公表しています。対策の際はこのガイドラインを参考にしましょう。

          参考:暗号鍵管理ガイドライン|IPA 独立行政法人 情報処理推進機構
          https://www.ipa.go.jp/security/crypto/guideline/ckms.html


          有効期限を管理する

          3つ目の注意点は、デジタル証明書の有効期限を適切に管理し、期限切れを起こさないようにすることです。Webサイトで有効期限が切れたデジタル証明書が使われていると、通信が保護されなくなってしまいます。また、Webサイトを訪れたユーザーのブラウザに「証明書の有効期限が切れています」という旨のエラーメッセージが表示されるため、ユーザーから「信頼できないサイト」と見なされる可能性もあります。これらのリスクを避けるため、デジタル証明書の有効期限は定期的に更新し、有効期限が切れた際には再発行を行うようにしましょう。


          DocuTrackerなら書類の保管をブロックチェーンで証明


          ここまで説明してきた通り、デジタル証明書は正当なものであることを証明するための技術です。ただ、改ざんを防ぐためには、それ以外の対策も必要となってきます。特に、改ざんされていないことを証明できるサービスは改ざん対策に効果的です。

          DocuTrackerは、クラウドストレージにアップロードしたファイルが自動でブロックチェーン(※)と連動し、タイムスタンプが自動的に付与されるという仕組みのサービスです。使い勝手はそのままに、「ファイルが改ざんされていないこと」の証明ができます。

          ※ブロックチェーン……暗号技術を用いて分散的に処理・記録する技術。DocuTrackerで用いているブロックチェーンは、テックビューロ株式会社が開発・販売しているプライベートブロックチェーン「mijin」です。

          対象のクラウドストレージサービスは、Google ドライブやMicrosoft OneDrive、Dropbox、Boxで、現在のファイルシステムを大きく変えず、シームレスに利用できます。またDocuTracker は、2024年1月1日から本格施行されている電子帳簿保存法にも対応しています。なお保管できるファイルの種類に制限はなく、クラウドストレージに保存できるファイルはすべて利用可能です。


          DocuTrackerなら、現在のファイルシステムはそのままに、ファイルが改ざんされていないことを証明可能。詳しくはこちら ≫

          まとめ


          改ざんやなりすましを防ぐデジタル証明書について紹介しました。デジタル証明書は安全な通信のためには欠かせない技術であり、また所有者やユーザー、認証局が連携して信頼性を保っているものです。自社の情報システムやWebサイトへの信頼を保つべく、デジタル証明書の仕組みを理解して、適切な運用を心がけましょう。