デジタル証明書とは?定義と例

Learn why Top Industry Analysts consistently name Okta and Auth0 as the Identity Leader

デジタル証明書は、アイデンティティ証明書または公開鍵証明書とも呼ばれ、公開鍵基盤(PKI)を使用した電子パスワードの一形態であり、個人や組織による安全な方法でのインターネット経由のデータ交換を可能にします。

デジタル証明書は、暗号化と公開鍵を使用して、サーバー、デバイス、またはユーザーの信頼性を証明し、信頼できるデバイスだけが組織のネットワークに接続できるようにします。Webサイトの信頼性をWebブラウザに対して確認する目的で使用される場合もあります。

Webサイト、組織、または個人が、公的に信頼された認証局(CA)による検証を必要とするデジタル証明書を要求することができます。

デジタル証明書は、インターネット上の通信、データ、Webサイトの保護に役立ちます。デジタル証明書のエクスプロイトにはいくつかの潜在的な弱点がありますが、これらの公開鍵証明書で保護されたWebサイトは、そうでないWebサイトより安全であると見なされます。

デジタル証明書とは?

デジタル証明書は、ユーザー、デバイス、サーバー、またはWebサイトの信頼性を証明する電子資格情報の一形態です。デジタル証明書はPKIを使用して、通信やデータをインターネット経由で安全に交換します。

認証のこの形態は、ユーザーの検証に公開鍵と秘密鍵を使用する必要がある暗号化のタイプです。

公開鍵証明書は、証明書に署名する信頼できるサードパーティ(CA)によって発行されるため、アクセスを要求するデバイスやユーザーのアイデンティティが検証されます。有効性を保証するため、公開鍵は、受信者だけが知っている、対応する秘密鍵と照合されます。デジタル証明書には、公開鍵と秘密鍵が関連付けられた鍵ペアがあります。

デジタル証明書には、次の識別可能情報が含まれています。

  • ユーザー名
  • ユーザーの会社または部門
  • デバイスのIP(Internet Protocol)アドレスまたはシリアル番号
  • 証明書所有者からの公開鍵のコピー
  • 証明書の有効期間
  • ドメイン証明書の認証

デジタル認証のメリット

デジタル認証は、今日のデジタル時代に重要になっているセキュリティレベルを提供します。事実、米国の国土安全保障省(DHS)は、サイバーセキュリティを米国政府の最優先事項の1つに挙げています。サイバー犯罪は、企業や個人にとって大きな脅威です。

デジタル証明書には、次のようなメリットがあります。

  • セキュリティ:デジタル証明書は、内部や外部の通信の機密の保持とデータの整合性の保護を可能にします。また、アクセス制御を提供することで、意図した受信者だけがデータを受信してアクセスできるようにします。
  • 認証:デジタル証明書を使用すると、ユーザーは、通信相手であるエンティティまたは個人が本人であることを確認し、通信が意図した受信者だけに届くようにすることができます。
  • 拡張性:デジタル証明書は、個人だけでなく、大規模や小規模の企業もさまざまなプラットフォームで使用できます。わずか数秒で発行、更新、取り消しが可能で、さまざまなユーザーデバイスを保護する目的で使用でき、一元化された単一システムで管理されます。
  • 信頼性:デジタル証明書は、公的に信頼され、厳格に審査されたCAだけが発行できるため、簡単に騙されたり偽造されたりすることはありません。
  • 公共の信頼:デジタル証明書を使用することで、Webサイト、ドキュメント、またはメールの信頼性が証明されます。ユーザーやクライアントに対し、企業や個人が本物で、プライバシーを尊重し、セキュリティを重視することを保証することができます。

さまざまなタイプのデジタル認証

公開鍵証明書には、TLS/SSL(Transport Layer Security/Secure Sockets Layer)証明書、クライアント証明書、コード署名証明書の3つの主要なタイプがあります。証明書のタイプごとにバリエーションもあります。

  • TLS/SSL証明書:TLS/SSL証明書は、コンピュータとサーバーの間の通信を保護する目的で使用され、サーバーによってホスティングされます。クライアントコンピュータがサーバーにアクセスしようとすると、サーバーはデジタル証明書を提示することで、サイバーが本物であり、意図した送信先であることを証明します。

WebアドレスやURL(Uniform Resource Locator)の先頭のHTTPS(Hypertext Transfer Protocol Secure)指定は、デジタル証明書が存在することを示しています。

クライアントコンピュータにサーバーからのデジタル証明書が提示されると、証明書パス検証が実行されて、証明書のサブジェクトがホスト名と一致することが確認されます。証明書のサブジェクトフィールド内のプライマリホスト名またはコモンネームを識別する必要があります。SAN(Subject Alternative Name)証明書やUCC(Unified Communications Certificate)の場合は、複数のホスト名が存在する可能性があります。

パブリックWebサーバー、またはインターネット接続しているサーバーには、信頼できるCAによって署名されたデジタル証明書が必要です。TLS/SSL証明書は、ドメインを検証する目的でWebサイトで使用されます。あるいは、組織を検証する目的で軽量のビジネス認証に使用されることもあります。

拡張検証は、完全なビジネス認証を可能にし、最高レベルのセキュリティ、信頼、認証を提供します。

  • クライアント証明書:あるマシンが別のマシンに対して(つまり、あるユーザーが別のユーザーに対して)アイデンティティを証明できるようにするデジタルIDの形態。これを使用することで、保護された安全なデータベースやメールにユーザーがアクセスできるようになります。

メールでは多くの場合に、組織内の通信で機能するS/MIME(Secure/Multipurpose Internet Mail Extensions)プロトコルが使用されます。通信に先立ち、両方の当事者にデジタル証明書のコピーが必要です。

クライアント証明書を使用することで、メールメッセージの暗号化とメッセージの整合性の検証が可能になります。各ユーザーは、デジタル署名されたメッセージを送信し、送信者の証明書を事前にインポートする必要があります。

  • コード署名証明書:このタイプのデジタル証明書には、ソフトウェアまたはファイルが関係します。ソフトウェアの公開元や開発者は、ソフトウェアに署名することで、そのソフトウェアが本物であることをダウンロードするユーザーに対して証明します。

これは、ソフトウェアがサードパーティ経由でダウンロードされる場合に大きなメリットであり、ソフトウェアが本物で、犯罪者によって改ざんされていないことが保証されます。これにより、インターネットからダウンロードしたファイルやソフトウェアが有効で本物であることを確認できます。

デジタル証明書が使用される場所

パブリック認証局は、一連のベースライン要件に従う必要があります。ほとんどのWebブラウザは、ブラウザそのものやデバイスのオペレーティングシステムによって設定された、事前に選択されたCAのリストを信頼するようにセットアップされています。デジタル証明書の認証は多くの場合に、ユーザーがプロセスに気づこともなく、舞台裏で迅速に実行されます。

Webサイトは、デジタル証明書を使用してHTTPS接続を作成し、信頼できるCAによって署名されることで有効性が認証されます。これは、ブラウザが探している実際のWebサイトにアクセスしていて、偽あるいは不正なWebサイトではないことを知るのに役立ちます。

デジタル証明書は、機密情報、識別情報、財務情報を保護する目的でEコマースでも使用されています。オンラインショッピング、株取引、銀行、ゲームのいずれも、デジタル証明書を使用しています。電子クレジットカードの所有者や加盟店は、デジタル証明書を使用して金融取引を保護できます。

デジタル証明書の別の一般的な用途として、メール通信があります。メールにデジタル署名が含まれていて、ハッシュアプローチを使用して暗号化されたメッセージが送信される場合もよくあります。

デジタル証明書に対する批判

デジタル証明書は、広く信頼され、セキュリティと有効性を証明するように設計されていますが、絶対的な信頼を証明するものではありません。デジタル証明書には、犯罪者によるエクスプロイトの潜在的な弱点があります。

たとえば、組織が侵害される可能性もあり、サイバー犯罪者が証明書や秘密鍵の情報を窃取し、マルウェアを配布することもあります。不正証明書で感染システムを信頼するように構成し、攻撃への扉が開かれることになる可能性もあります。

このMITM(中間者)攻撃は、偽のルートCA証明書を作成するか、セキュリティプロトコルを回避できる不正証明書をインストールすることで、SSL/TLSトラフィックを傍受して機密情報へのアクセスを手に入れることも知られています。ただし、総論として、デジタル証明書を使用してWebサイトを保護することは、使用しない場合より安全であるとされています。

主なポイント

デジタル証明書は、多くの場合にWebサイトとブラウザの間でやり取りされるデータや通信を保護するパスワードのような役割を果たします。Webサイトの認証を処理して、接続し、情報を配布しても安全であるとブラウザに知らせます。

デジタル証明書は、PKIを使用して、ユーザー、デバイス、サーバーの間でデータを移動します。デジタル証明書は、公開鍵と秘密鍵の両方を含む鍵ペアを使用して、送信者と受信者の間でやり取りされる情報の暗号化と復号化を支援します。

デジタル証明書を信頼できるのは、厳格な審査に合格する必要があるパブリック認証局だけが署名できるためです。ほとんどのオペレーティングシステムとブラウザには、信頼できるデジタル証明書のリストが組み込まれているため、多くの場合、認証プロセスはシームレスで迅速です。

デジタル証明書は、拡張性も高く、サイバーセキュリティの重要な側面の1つです。

参考文献

What Is Federated Identity?(2013年、Federated Identity Primer

Cybersecurity(2021年10月、国土安全保障省)

S/MIME for Message Signing and Encryption in Exchange Online(2021年12月、Microsoft)

Baseline Requirement Documents (SSL/TLS Server Certificates)(CA/Browser Forum)

Certificates(CIO.gov)

On the Security of SSL/TLS-Enabled Applications(2014年1月、Applied Computing and Informatics