PKI入門（３）　普段つかっているPKIアプリケーションは、SSL

●誰もがSSL（Secure Socket Layer）は使っている。

　PKIという言葉を知らなくても、多くの一般インターネットユーザが使っているPKIは、SSLというアプリケーションを通じてであることは間違いない。SSLは、暗号化とサーバ証明書として、広く使われている。一般インターネットユーザに使われているSSLが、PKIのアプリケーションとして今どういった意味を持っているかをPKI入門の3回目としてもう少し解説をする。そして、これからユーザ認証として、どのようにPKIが使われはじめているのかを、一般インターネットユーザに関して、初歩的ではあるが、できるだけ、重要な点にしぼって解説を行う。また、法人や、ビジネスインターネットユーザに関しても、PKIによるユーザ認証の普及について少し取り扱う。

●SSLは普及しているから重要

　SSLがPKIの普及にとって重要なのは、普及していて、しかも知られているからだ。何事でも普及が進むためには、知っていることが重要だ。選挙で、名前を連呼して、名前を覚えてもらうのを最優先していることからも、知ってもらうことの重要性が普及には重要なことはわかるだろう。PKIに関しては、SSLを通じて多くのインターネットユーザが体験はしているが、言葉として、PKIはおろか、SSLも知らないというのが現状だろう。しかし、SSLを体験していると言うレベルでは、通常のブロードバンドインターネットユーザならば誰でも体験しているといえる。オンラインショッピングや、オンラインバンキングで、https: ではじまるURLにアクセスしていれば、SSLを通じて、PKIを使っている。個人情報や、クレジットカードなどの情報を入力するときにでてくる「セキュリティで保護されたページで表示しようとしています。このサイトと取り交わす情報はWeb上の誰からも読み取られることはありません。」という小さなウィンドウは、誰でも、見たことがあるだろう。ただ、その時にユーザが、PKIつまり公開鍵基盤として意識しているかは別である。上記のセキュリティ警告をみればわかるように、【暗号化】で安全というのが強調されている。ユーザはクレジットカードの情報をいれるから安全でないとまずいので、SSLのかかっているサーバがいいと思っている状態だろう。

●サーバ証明書はあまり意識されない。

　しかし、SSLを使っているサーバは、サーバ証明書もつけているので、サーバが正当なものであるというPKIの証明書機能も使っている。暗号化、証明書、ユーザ認証というPKIの機能のうち証明書までSSLで使っている。このサーバ証明書の機能に関しては、一般のユーザの認識は、暗号化の機能に比べて、推測ではあるが低いと思われる。それは、サーバ証明書に関しては、ユーザが意識する場面に遭遇するのはそれほど多くないからだ。ユーザがサーバ証明書を意識するのは、このSSLの使われているサイトにアクセスしたときに、セキュリティ上の警告がでて、セキュリティ証明書が、「信頼する会社から発行されない。証明書の有効期限がすぎている。サーバ名とセキュリティ証明書に書かれているサーバ名が異なります。」などの警告がでる場合である。しかし、通常のオンラインショッピングや、インターネットバンキングの場合には、この警告がでることはまずない。

●プライベートCA局（認証局）を使うとブラウザからセキュリティ警告がでる

　セキュリティ警告には、証明書を発行している会社が信頼できないとというものがおそらく多いだろう。いわゆるプライベートCA（認証局）を立ち上げて、サーバ管理者などが、いわば、プラベートな証明書を発行している場合である。これは、プライベートCA（認証局）発行の証明書だ。この種の証明書は、実は作成が技術的にそれほど難しくはない、ただインターネットエクスプローラなどのブラウザから信用できないと警告がでるだけだ。一般の個人インターネットユーザにとってはこのような警告がでるとかなり抵抗があるが、のちに述べるように、このプライベートCA（認証局）でサーバ証明書をどう作りどのように運用するかが、意味を持ってくる。これはまた詳しくのちほど述べてゆく。

【執筆：武井明】

（この記事には続きがあります。続きはScan本誌をご覧ください）
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec