証明書のようで証明していない？「デジタル証明書」とは

デジタル技術を使ったサービスが広く利用される現代ですが、サービスを利用する際に見聞きすることが多いのが「デジタル証明書」です。証明書と呼ばれるからには、何かしらの情報を「証明」するために用いられることはイメージできますが、その詳しい内容までは理解できていない方も多いのではないでしょうか。

そこで今回は、気になるセキュリティ用語の1つであるデジタル証明書について、分かりやすく解説します。

本稿は、今日の10分セキュリティラジオの放送を加筆修正したものです。

デジタル証明書とは？

デジタル証明書とは、別称「公開鍵証明書」と呼ばれ、インターネット上で発行される「自分（本人）」を証明するデータのことを指します。

公開鍵暗号と呼ばれる暗号技術において用いられ、公開鍵とその所有者の同定情報のほか、有効期間や発行者、署名アルゴリズムなどを結びつけるための証明書です。

これだけの説明では、まだデジタル証明書が何か理解しづらいですね…そこで、より理解を深めるために、公開鍵暗号の仕組みと合わせて説明しましょう。

公開鍵暗号のなりすましリスクに対処するための証明書

公開鍵暗号では、暗号をやり取りする相手に公開鍵を送信します。相手はこの公開鍵を使って暗号化されているデータやメッセージを復元し、取得することができます。つまり公開鍵で、暗号のロックを解除できる訳です。

しかし、この公開鍵が第三者に入手されてしまえば、第三者でも暗号データを復元し入手することができます。公開鍵を送信した側からすれば、暗号を解除したのが誰なのか確認することはできず、意図した相手以外に情報を渡してしまう恐れがあります。ここに、セキュリティ上のリスクが発生する訳です。

そこで公開鍵を安全に使用し、なりすましなどのセキュリティリスクに対処するために考案されたのがデジタル証明書（公開鍵証明書）。この証明書があることで、公開鍵を使って暗号を復元した人が本人であることを証明し、セキュリティの安全を保証することができます。

デジタル証明書は認証局（CA）で発行される

デジタル証明書は「認証局（CA）」が発行します。認証局は暗号データを送信・受信する双方にとって信頼のおける第三者機関で、インターネット上の「役所」のようなイメージです。この役所で発行された証明書を用いることで、公開鍵の本人確認を行いセキュリティの安全性を確保します。

デジタル証明書は万能ではない

さて、スマホやPCを使った便利なサービスが普及した現代では、デジタル証明書の存在がさらに注目を集めることが予想されます。しかし注意したいのが、デジタル証明書は「万能ではない」ということ。これはどういう意味なのでしょうか？

自分で証明書を発行する「オレオレ証明書」

デジタル証明書の発行には、ある程度の手間や時間、コストがかかります。もちろん、免許証や健康保険証といったものに比べれば簡素化されていますが、本人を確認しセキュリティを確保するために用いられるため、致し方ない部分です。

しかし、社内や小さなコミュニティ内で利用するには「毎回デジタル証明書を発行するのが面倒…」と感じるケースも少なくありません。こうした理由から、正式に認可されていないサービスに証明書を発行してもらう、自分でデジタル証明書を作成して発行する、といった「オレオレ証明書」と呼ばれるものが出回るようになってしまいました。

ここがリアルとデジタルの大きな違いで、免許証などを取得するには本人確認や写真確認、複数の証明書によるダブル・トリプルチェックが必要となります。そのため、証明書を偽装するといったことは不可能に近いといえるでしょう。しかしデジタルでは証明のチェック体制が簡素的で、デジタル技術を利用しているという点からも偽装がしやすい環境にあります。

結果として、デジタル証明書を逆手に取った詐欺などが発生するケースも考えられます。これが「万能の証明書」と呼ぶことができない理由です。

デジタル証明書を利用する場合は、こうした認識の元、正しい実装や有効期限の管理を行いセキュリティ対策の強度を高めておくことが必要でしょう。

まとめ

今回は、近年よく利用されている「デジタル証明書」について解説しました。

デジタル証明書とは「公開鍵証明書」とも呼ばれるもので、インターネット上で発行される本人証明書と呼べます。公開鍵を使った暗号のやり取りを行う場合に、本人確認を行うことでなりすましなどのリスクを減らし、安全にデータや情報をやり取りすることが可能です。

一方で、正式に認可されていないサービス元から証明書を発行してもらうといった「オレオレ証明書」も出回っていることから、万能の証明書ではないという認識を持って利用することも大切です。