お客様事例

大学から広げるクライアント証明書活用の取り組み

国立情報学研究所
法人番号
サービス
利用用途 暗号化・その他の用途
URL http://www.nii.ac.jp/

国立情報学研究所 
学術認証推進室
特任教授 中村 素典 氏

いまや企業だけでなく、大学や研究機関も先進的な認証技術を導入して、より安全で利便性の高い環境を追求しています。そこで、学術情報基盤を運営し、大学や研究機関に対するサーバー証明書の発行プロジェクトを経て、今年度からは新たにクライアント証明書やコードサイニング証明書(※1)の発行を開始されている国立情報学研究所(NII) 学術認証推進室 特任教授 中村 素典様に概要を伺いました。

※1 ソフトウェアを流通させる際に付与する電子署名用の証明書。大学等では、提供するプログラムのほか、研究成果等の公開・配布での活用が期待される。

UPKIに馴染みのない方もいらっしゃると思いますので、簡単にご説明いただけますか?

中村氏-
UPKI(※2)は、最先端学術情報基盤実現の一環として、大学等が保有する教育・研究用計算機、電子コンテンツ、ネットワークおよび事務システムなどの学術情報資源を、PKIを活用して、安心で安全かつ効果的に提供、利用するための電子認証基盤です。2007年4月から2015年3月までの「サーバー証明書発行・導入のための啓発・評価研究プロジェクト」および「UPKIオープンドメイン証明書自動発行検証プロジェクト」では、通常は商⽤認証局が⾏う証明書発⾏時の審査等を、NIIや⼤学で分担し、信頼性を⾼めつつ、業務の効率化やコスト削減を実現することによって、大学等にサーバー証明書を提供してきました。

※2 University Public Key Infrastructure

今後はクライアント証明書も発行されるそうですが、反応はいかがでしょうか?

中村氏-
そろそろパスワードに代わるセキュアな認証を本格的に導入しなければならないとわかっていても、クライアント証明書は、発⾏にコストがかかるとか、管理をユーザーまかせにすると配付やサポートが煩雑だとか、定期的な更新をどうするのかといった課題があるので、その辺りをクリアすることができれば、導入に踏み切る大学等も増えてくるのではないかと思っています。
そこで、まずは発行コストを抑えることで各大学での活用の検討を促進するため、新しいUPKI証明書発行サービスでは、普及啓蒙フェーズとして当面は無料でクライアント証明書を提供することにしました。

JCANパス(※3)を改良した「UPKIパス」方式を利用されると伺いましたが、メリットを教えてください。

中村氏-
まず、UPKIパス方式では、学⽣証や職員証として大学で広く利⽤されているFCF(※3)が使えます。⾝分証を利⽤することで、紛失や貸し借りの問題が減ることが考えられます。ただし、最新の規格であるFCF V3への対応が必要です。次に、FeliCaの他のアプリと共存しやすいことです。また、証明書を利用者に配付し、各⾃の端末にインストールさせる必要がありません。さらに、証明書の更新がサーバー側のみで可能ですので、証明書の有効期限が短くても更新コストが抑えられます。

※3 http://jcan.jipdec.or.jp/jcan/sdk_order.html

改善された点を教えてください。

中村氏-
1つめに、従来方式では暗号化されたカードPINがカードに保存されていましたが、暗号化キーがほぼ共通ですので、暗号化キーの流出が致命的にならないようにカード⾃体にPINを書き込まないことにしました。2つめに、証明書ストアサーバーのアクセスに認証がないため、 外出時にインターネットから利⽤できませんでしたが、前出のカードPINをサーバー認証に利⽤することで解決します。3つめに、JCAN証明書の証明書発⾏⽅式に依存しているため、指定された解凍フレーズを⽤いて認証局がPKCS#12(※4)で発⾏していましたが、 証明書ストアサーバー周辺の基本設計を再検討し解凍フレーズを認証局が指定する発行方式に対応しました。4つめに、端末の証明書ストアに⼀時的に書き込むため、無理⽮理、秘密鍵がエクスポートされる可能性がありましたが、PKCS#11(※5)もしくはCAPI(※6)を介した仕組みを実装することで回避することにしました。

※4 パスワードで保護された秘密鍵と、それに関連する公開鍵証明書を保管するため方法を定義した仕様のこと
※5 ICカードなどの暗号デバイスのインターフェースを定義した仕様のこと
※6 Microsoft社が提供しているアプリケーションが暗号化およびデジタル証明書サービスを利用できる標準フレームワークのこと。

普及の課題になりそうなことはありますか?

中村氏-
4月から新サービスへ移行しましたが、9月現在269機関、361ドメインで利用いただいています。サーバー証明書の有効発行枚数は、9500枚を超え、クライアント証明書は250枚を超えています。順調に発行枚数は増えているところです。また、クライアント証明書は、UPKIパス以外に端末にインストールしたり、ICカードやUSBトークン、SIMカード等への格納できますし、発行形態も大学等の事情に合わせて選択できるよう、様々なプロファイルに柔軟に対応できるようにしています。
クライアント証明書の、ID管理システムと連携した自動発行管理の仕組みの実現や、スムーズな証明書の切り替え、がこれからの検討課題です。UPKIで発行する証明書は期間を区切った入札により調達を行っていますので、認証局が変更になる可能性があります。

JIPDECには、今後、どのような展開を期待していますか?

国立情報学研究所
情報犬 ビットくん

中村氏-
学術機関と協力しながら、証明書の効果的な活用や普及に向けて一緒に取り組んで頂きたいと考えています。

(2015年12月)

この記事に関連するキーワード

ページの先頭へ戻る