PKI入門(9) PKI 普及はどこからはじまるのか? 社外からの社内情報への簡単なアクセスから
PKIの普及は、どこからはじまるのかはそう簡単には予想できない。しかし、SSL-VPNという兆しは見えてきているので、今、現在見えていることをもとに、連載の途中ではあるが、簡単な予測を行ってみる。もちろん、正確な予測とは言えないので、思考実験的なひとつの参考
特集
特集
まず、片付けたい仕事とは、社外からの安全で確実な社内情報へのアクセスだ。アクセスの対象も、Web上の情報つまり、企業ポータルなり、グループウェアの情報でとりあえずは十分というのが、実際の顧客の要求レベルらしい。
SSL-VPNが市場に認知される前にあったVPNは、Windowsネットワークそのものにログインするもので、社内のパソコンと直接つながっている状態まで可能でかなり便利なものである。SSL-VPNも、同様の機能を持つものもあり、かなり便利に見える。しかし、VPNや、高機能のSSL-VPNの仕組みは、専用の特別のハードウェアや高価なソフトウエアが必要だ。実際の顧客のニーズは、もう少し簡単なものではないだろうか?
特に社内のデータのやり取りが、Webベースのグループウエアベースになっている場合には、よく使うファイルなども、Web上からダウンロード、アップロード可能になっていることが多いだろう。Windowsネットワークそのものが使えなくても、とりあえず、社外からの情報アクセスのニーズには答えることが可能である。つまりローエンドの市場破壊は、とりあえず、Webベースが使えればよいという低価格認証システム導入から入ると考えるわけである。さらに、低価格であるので、証明書は、自社内で作成するか、低価格のアウトソーシングベンダにまかせることになる。
一方、ID,パスワードによる簡単な認証で、社内情報が見られるのは、そろそろまずいのではないかというのが、セキュリティならずとも、一般のユーザの認識になっているともいえるだろう。難しいパスワードなので覚えられずに、付箋(電子的な付箋で、デスクトップ上にあったりすることもあるが)にID,パスワード書いてある状態のまま、ノートパソコンでアクセスするのは、それほど珍しいことではないだろう。以前も書いたので繰り返しになるが、マイクロソフトのビルゲイツも、ID,パスワード方式はもはや現実的でないとすでにスピーチしている。セキュリティで有名なRSA社2004年のコンファレンスでの講演( http://www.microsoft.com/billgates/speeches/2004/02-24rsa.asp )での話だ。PKIによる認証は、ビルゲイツのスピーチにあったものではないが、現時点では確実に機能するし、使い勝手もSSL-VPNの普及に見て取れるように、実際のユーザに支持されている。
そこで、上記の考察をもとに、今後、普及がどこからはじまるかを、オープンソースのPKIアプリケーションと、EasyCertを元にしたCertWorkerと日本製の製品について説明してから予想を述べてみる。
○オープンソース openCAとApache を使って
社外からPKIの証明書を使って社内のWebにアクセスする方法はいろいろなバリエーションがありえるが、リバースプロクシ―を用いるのがおそらく通常だろう。これは、まさに横河電機のsecureticket( http://www.secureticket.jp )方式だ。PKIの証明書ベースで認証を通過したのちApache のリバースプロクシ―機能を利用して社内のWeb(グループウエアもしくは企業ポータル)にアクセスするのがPKIにおけるsecureticket方式になるだろう。
【執筆:武井明】
(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》