今回は「PKIの構築」がテーマである。PKIの構築方法について簡単に紹介し、次いでいくつかワンポイントアドバイスを提示したい。

1.PKIの構築方法について

【1】認証局構築のアプローチ=主に次のような方法があり、用途、運用体制、予算などに応じて適切なものを選択できる。

 (1)CA(Certification Autho rity)サーバー製品及びディレクトリサーバー製品を購入して、企業/組織専用のプライベートな認証局を自前で構築・運用する方法。

 (2)企業/組織専用のプライベートな認証局を、認証サービス会社に構築してもらい、ハウジングやオペレーションをアウトソーシングする方法。

 (3)認証サービス会社の既存のパブリックな認証局を利用する方法。

【2】利用者側認証システム及びアプリケーションシステム構築のアプローチ=主に次のような方法があり、用途、予算、工程などに応じて適切なものを選択できる。

 (1)出来合いのソフトウェアをアプリケーションシステム構成部品として利用する方法。図に示すように、利用者側認証システムには、セキュアメール、セキュアウェブアクセス、セキュアストレージをはじめとするソフトウェア製品が用意されており、それらをシステムコンポーネントとしてそのまま利用することができる。

 (2)専用のPKIアプリケーションプログラムを自前で開発する方法。PKIライブラリ製品を利用して、用途に最適な専用のPKIアプリケーションプログラムやブラウザのプラグインソフトウェアなどを自前で開発することができる。

【3】CP/CPSの策定=証明書を適用するアプリケーション、証明書発行対象者、証明書の仕様、証明書発行における審査方法と手続きを始めとして、認証局の運営・運用に関する証明書ポリシー(CP:Certificate Policy)及び認証局運用規定(CPS:Certification Practice Statement)を策定する必要がある。

 なお、パブリックな認証局を利用するには、そのCP/CPSを吟味して認証局を選択する必要があるとともに、そのCP/CPSに従うことになる。

2.ワンポイント・アドバイス

1.利用者の秘密鍵管理媒体は、公開鍵演算可能で耐タンパー性(不正アクセス対抗性)と携帯性を有するICカードを採用することが望ましい。また、ICカードプリンタシステムによってICカードの印刷・発行が正確・迅速に行えることが望ましい。

2.セキュリティの根幹となる認証局の秘密鍵の管理媒体としては、耐タンパー性の高いHSM (Hardware Security Module)を採用することが望ましい。

3.証明書の質はとくに証明書発行における審査方法に大きく左右される。また、PKIの運用はCAシステム構成の自由度(集中/分散/一括発行など)に依存する。目的に応じた審査方法とCAシステム構成を選択して、PKIを構築しよう。

4.高度なセキュリティを実現するには、CP/CPSの枠組みが示すように、トータルなセキュリティシステムとして取り組む必要がある。PKIベンダー/システムインテグレータの対応力も求められるところである。

5.PKI及びアプリケーションシステム構築に利用できる技術/製品/サービスの事例として、セキュリティベンダーのホームページ(http://www.security.melco.co.jp/SecWWW/index.html)等を参照されたい。