公開鍵基盤(PKI)とは何ですか?

サイバーセキュリティに関するご質問にタレス eセキュリティがお答えします。

公開鍵基盤(PKI)とは何ですか?

公開鍵基盤(PKI)とは、デジタル証明書や公開鍵の作成、管理、配布、使用、保管、取り消しを行う際に必要な一連のハードウェア、ソフトウェア、ポリシー、プロセス、手順のことを指します。PKIは、デジタル署名や暗号化などのテクノロジーを、大規模なユーザー集団全体で使用できるようにする基盤です。PKIは、電子商取引のための安全で信頼できるビジネス環境や、成長著しいIoT(モノのインターネット)にとって不可欠な要素です。

PKIを利用することで、ユーザー、デバイス、サービスのIDを確立することができます。これにより、システムやリソースに対するアクセスの制御、データの保護、トランザクションの追跡が可能になります。ビジネスモデルが進化して電子的連携にますます依存するようになり、オンライン認証の導入や厳格なデータセキュリティ規則の遵守が求められる中、次世代ビジネスアプリケーションは、高い信頼性を保証するため、公開鍵基盤(PKI)テクノロジーへの依存度を高めています。

認証局(CA)の役割

PKIは、公開鍵とその関連ユーザー(秘密鍵の所有者)を結び付けるために、デジタル証明書を使用します。デジタル証明書は、トランザクション内のユーザー間で容易に身元を検証できるようにするためのクレデンシャルです。パスポートが国民としての身元を証明するのと同様、デジタル証明書はエコシステム内でユーザーの身元を証明します。デジタル証明書を使用することで、暗号化データの送信先のユーザーを識別したり、情報の署名者のIDを確認したりすることができます。そのため、システムの信頼性を維持するには、証明書の真正性と完全性を保護することが不可欠となります。

認証局(CA)は、デジタルクレデンシャルを発行します。これにより、ユーザーの身元が証明されます。CAは、PKIのセキュリティや、サポートするサービスの支持基盤となるため、高度な標的型攻撃に狙われる可能性があります。CAに対する攻撃のリスクを軽減するため、物理的/論理的な制御機能や、ハードウェアセキュリティモジュール(HSM)などのセキュリティ強化メカニズムを導入することで、PKIの完全性を保証することが求められています。

PKIの導入

PKIは、デジタル証明書や署名などの暗号化データセキュリティテクノロジーを、大規模環境に効果的に導入するためのフレームワークとなります。PKIは、ネットワーク内およびネットワーク間のID管理サービス、インターネットトラフィックを保護するためのSSL(Secure Socket Layer)やTLS(Transport Layer Security)に必要とされるオンライン認証、ドキュメントやトランザクションの署名、アプリケーションコードの署名、タイムスタンプをサポートします。PKIは、デスクトップログインや、市民の身分証明、大量輸送、モバイルバンキングなど、さまざまなソリューションをサポートし、IoTのデバイスID認証においてもきわめて重要な役割を果たしています。デバイスID認証は、スマートフォンから医療機器に至るまで、クラウドベースやインターネット接続型の膨大な数のデバイスにIDを付与するテクノロジーとして、ますます重要性を高めています。

暗号化セキュリティ

PKIは、非対称暗号化と対称暗号化の原理を応用して、ユーザーやデバイスの間での安全なデータ交換を確立し、トランザクションの真正性、機密性、完全性を保証します。ここでの「ユーザー」とは、PKI用語では「サブスクライバー」とも呼ばれ、エンドユーザー、Webサーバ、組み込みシステム、コネクテッドデバイス、ビジネスプロセスを実行するプログラム/アプリケーションなどが該当します。非対称暗号化は、エコシステム内のユーザー、デバイス、サービスに対して、公開鍵コンポーネントと秘密鍵コンポーネントで構成される鍵のペアを提供します。公開鍵は、グループ内の誰でも利用可能で、暗号化やデジタル署名の検証に使用できます。一方の秘密鍵は、その鍵が属するエンティティだけが使用するもので、秘密にしておく必要があります。通常は、復号やデジタル署名の作成などに使用されます。

重要性を高めるPKI

ビジネスモデルが進化して電子取引やデジタルドキュメントにますます依存するようになり、企業ネットワークに接続されるインターネット対応デバイスは増加し続けています。それに合わせて、公開鍵基盤の役割は広がり、セキュアな電子メール、物理アクセス用のスマートカード、暗号化されたWebトラフィックなど、独立したシステム以外にも使用されるようになっています。今日のPKIは、複雑なエコシステム全体でさまざまなアプリケーション、ユーザー、デバイスをサポートすることが求められています。そして、政府や業界のデータセキュリティ規制が厳しくなるにつれて、主流のオペレーティングシステムやビジネスアプリケーションは、信頼性を保証するうえで組織のPKIにこれまで以上に依存するようになっています。