banner

公開鍵基盤(PKI)とは何ですか?

公開鍵基盤(PKI)とは何ですか?

 

公開鍵基盤(PKI)とは、デジタル証明書や公開鍵の作成、管理、配布、使用、保管、取り消しを行う際に必要な一連のハードウェア、ソフトウェア、ポリシー、プロセス、手順のことを指します。PKIは、デジタル署名や暗号化などのテクノロジーを、大規模なユーザー集団全体で使用できるようにする基盤です。PKIは、電子商取引のための安全で信頼できるビジネス環境や、成長著しいIoT(モノのインターネット)にとって不可欠な要素です。

PKIを利用することで、ユーザー、デバイス、サービスのIDを確立することができます。これにより、システムやリソースに対するアクセスの制御、データの保護、トランザクションの追跡が可能になります。ビジネスモデルが進化して電子的連携にますます依存するようになり、オンライン認証の導入や厳格なデータセキュリティ規則の遵守が求められる中、次世代ビジネスアプリケーションは、高い信頼性を保証するため、公開鍵基盤(PKI)テクノロジーへの依存度を高めています。

認証局(CA)の役割

PKIは、公開鍵とその関連ユーザー(秘密鍵の所有者)を結び付けるために、デジタル証明書を使用します。デジタル証明書は、トランザクション内のユーザー間で容易に身元を検証できるようにするためのクレデンシャルです。パスポートが国民としての身元を証明するのと同様、デジタル証明書はエコシステム内でユーザーの身元を証明します。デジタル証明書を使用することで、暗号化データの送信先のユーザーを識別したり、情報の署名者のIDを確認したりすることができます。そのため、システムの信頼性を維持するには、証明書の真正性と完全性を保護することが不可欠となります。

認証局(CA)は、デジタルクレデンシャルを発行します。これにより、ユーザーの身元が証明されます。CAは、PKIのセキュリティや、サポートするサービスの支持基盤となるため、高度な標的型攻撃に狙われる可能性があります。CAに対する攻撃のリスクを軽減するため、物理的/論理的な制御機能や、ハードウェアセキュリティモジュール(HSM)などのセキュリティ強化メカニズムを導入することで、PKIの完全性を保証することが求められています。

PKIの導入

PKIは、デジタル証明書や署名などの暗号化データセキュリティテクノロジーを、大規模環境に効果的に導入するためのフレームワークとなります。PKIは、ネットワーク内およびネットワーク間のID管理サービス、インターネットトラフィックを保護するためのSSL(Secure Socket Layer)やTLS(Transport Layer Security)に必要とされるオンライン認証、ドキュメントやトランザクションの署名、アプリケーションコードの署名、タイムスタンプをサポートします。PKIは、デスクトップログインや、市民の身分証明、大量輸送、モバイルバンキングなど、さまざまなソリューションをサポートし、IoTのデバイスID認証においてもきわめて重要な役割を果たしています。デバイスID認証は、スマートフォンから医療機器に至るまで、クラウドベースやインターネット接続型の膨大な数のデバイスにIDを付与するテクノロジーとして、ますます重要性を高めています。

暗号化セキュリティ

PKIは、非対称暗号化と対称暗号化の原理を応用して、ユーザーやデバイスの間での安全なデータ交換を確立し、トランザクションの真正性、機密性、完全性を保証します。ここでの「ユーザー」とは、PKI用語では「サブスクライバー」とも呼ばれ、エンドユーザー、Webサーバ、組み込みシステム、コネクテッドデバイス、ビジネスプロセスを実行するプログラム/アプリケーションなどが該当します。非対称暗号化は、エコシステム内のユーザー、デバイス、サービスに対して、公開鍵コンポーネントと秘密鍵コンポーネントで構成される鍵のペアを提供します。公開鍵は、グループ内の誰でも利用可能で、暗号化やデジタル署名の検証に使用できます。一方の秘密鍵は、その鍵が属するエンティティだけが使用するもので、秘密にしておく必要があります。通常は、復号やデジタル署名の作成などに使用されます。

重要性を高めるPKI

ビジネスモデルが進化して電子取引やデジタルドキュメントにますます依存するようになり、企業ネットワークに接続されるインターネット対応デバイスは増加し続けています。それに合わせて、公開鍵基盤の役割は広がり、セキュアな電子メール、物理アクセス用のスマートカード、暗号化されたWebトラフィックなど、独立したシステム以外にも使用されるようになっています。今日のPKIは、複雑なエコシステム全体でさまざまなアプリケーション、ユーザー、デバイスをサポートすることが求められています。そして、政府や業界のデータセキュリティ規制が厳しくなるにつれて、主流のオペレーティングシステムやビジネスアプリケーションは、信頼性を保証するうえで組織のPKIにこれまで以上に依存するようになっています。

 

タレスのPKI対応ソリューション

  • タレス HSM(ハードウェア セキュリティ モジュール)シリーズ
    タレスはHSMの世界トップベンダーとして、汎用、決済用など様々なFIPS140-2準拠HSMシリーズを提供しています。タレスのHSMは世界の金融取引の80%を保護し、政府における個人情報保護の信頼の基点として採用されています。
  • 汎用HSM (Luna HSM シリーズ)
    タレスのLuna HSMは安全な暗号化処理、鍵の生成と更新・保護を実現する強化された耐タンパ環境を提供します。3種類のFIPS 140-2認定フォームファクタで利用可能なLuna HSMは、以下のようなさまざまな展開シナリオをサポートします。
    • ルート鍵と認証局(CA)用の鍵を生成・保護し、さまざまなユースケースでPKIをサポート
    • アプリケーションコードに署名することで、ソフトウェアが安全で改ざんされておらず、本物であることを確認
    • IoTアプリケーションやその他のネットワーク展開用の独自の電子デバイスを認証するためのデジタル証明書を作成
  • 統合暗号・暗号鍵管理プラットフォーム (CipherTrust Data Security Platform)
    クラウドやデータベース、ストレージ、サーバーなど様々な場所に散財する機密情報の暗号化を統合管理するプラットフォームです。その核となる暗号鍵管理アプライアンス(CipherTrust Manager)はFIPS140-2に準拠した、仮想アプライアンスと物理アプライアンスで暗号化、トークン化の暗号鍵を保管管理します。
  • タレスデータセキュリティポートフォリオ
    タレスは、クラウド、オンプレミスを含むあらゆるハイブリッドIT環境における機密データを、検出・保護・制御の一連のサイクルによって保護します。データそのものを暗号化やトークン化によって秘匿化するため、例えデータ流出やハッキングが行われても、情報の価値は保護されます。