トップ > セキュリティ技術解説 > CAとRAの違いとは?PKIの心臓部を現役セキュリティ担当が図解で徹底解説

CAとRAの違いとは?PKIの心臓部を現役セキュリティ担当が図解で徹底解説

セキュリティ技術解説 ITガバナンス
プロフィールアイコン

筆者名:城咲子(じょう せきこ)

情報システム部でセキュリティを担当している城咲子です。セキュリティに関する情報や日常の出来事(グチやボヤキ笑)などを発信していきます。(情報処理安全確保支援士/登録セキスペ/CISSP)

\ 好きなことば /

  • 最小権限の原則
  • 測定できなければ管理できない!
  • 失敗する可能性のあるものは、いずれ失敗する。

詳しいプロフィールはこちら

近年、オンラインサービスでの本人確認や安全な通信の確保は、企業にとって最重要課題の一つです。その根幹を支える技術が**PKI(公開鍵基盤)**ですが、「CAとかRAとか、登場人物が多くてよく分からない…」と感じている方も多いのではないでしょうか。

こんにちは。私は、とある企業の情報システム部でセキュリティを担当しており、CISSPと登録セキスペの資格を持つ城咲子です。日々、PKIの構築や運用に携わる中で、特にCA(認証局)RA(登録局)の役割分担の重要性を痛感しています。

この記事では、PKIの心臓部であるCAとRAの役割と違いを、現場の視点から図解を交えて徹底的に解説します。この記事を読めば、PKIの仕組みがスッキリと理解でき、自社のセキュリティ強化に役立つ知識が身につきます。

PKIの基本:なぜCAとRAが必要なのか?

まず、PKI(Public Key Infrastructure)とは、インターネット上で「なりすまし」「盗聴」「改ざん」を防ぎ、安全な通信を実現するための仕組み全体のことを指します。

このPKIが機能するためには、通信相手が本物であることを保証する「身分証明書」が必要になります。この電子的な身分証明書が「電子証明書」です。

そして、この信頼性の高い電子証明書を発行・管理する一連の仕組みの中心にいるのが、CAとRAです。

関連情報: PKIの全体像や、その仕組みの核となる「電子証明書」「公開鍵」「秘密鍵」の役割について基本から学びたい方は、まずはこちらの記事をご覧ください。 → PKIの仕組みをゼロから解説!証明書・公開鍵・秘密鍵の役割とは

一目でわかる!CAとRAの役割分担

CAとRAの役割を一言で表すと、以下のようになります。

  • CA(認証局): 電子証明書を発行・失効させる「発行局」。信頼の最終責任を負う。
  • RA(登録局): 証明書発行の申請を受け付け、本人確認を行う「受付窓口」

両者の違いをより明確にするために、表にまとめました。

項目 CA(Certification Authority / 認証局) RA(Registration Authority / 登録局)
主な役割 電子証明書の発行、失効、管理 証明書発行申請の受付、申請者の本人確認
たとえるなら パスポートの発行センター パスポートの申請窓口(市役所など)
責任 発行した証明書の信頼性に対する最終責任 申請内容の審査・本人確認の正確性に対する責任
必須性 PKIの根幹であり、必須 必須ではないが、大規模な運用では事実上不可欠

この関係性を図で示すと、以下のようになります。

graph TD
    A[証明書利用者] -- 1. 証明書発行を申請 --> B[RA: 登録局<br>(受付・本人確認)];
    B -- 2. 審査・承認 --> C[CA: 認証局<br>(証明書発行)];
    C -- 3. 証明書を発行 --> A;
    C -- 4. 証明書と失効リストを公開 --> D[リポジトリ];
    A -- 5. 証明書を提示 --> E[他の利用者];
    E -- 6. 有効性を確認 --> D;

このように、RAが利用者とCAの間に立つことで、CAは証明書の発行というコア業務に専念でき、より安全で効率的なPKI運用が実現できるのです。

CA(認証局)の役割:PKIの「信頼の起点」

CA(Certification Authority:認証局)は、PKIにおける**信頼の起点(トラストアンカー)**です。CAが発行するからこそ、その電子証明書は信頼できるものとして扱われます。

CAの具体的な役割は以下の通りです。

  • 電子証明書の発行: RAによって本人確認が完了した申請者に対して、電子証明書を発行します。
  • 電子証明書の失効: 秘密鍵の漏洩や証明書の不正利用が発覚した場合に、その証明書を無効化(失効)します。
  • 証明書失効リスト(CRL)の発行: 失効した証明書の一覧であるCRL(Certificate Revocation List)を発行し、リポジトリで公開します。

関連情報: 証明書の失効を確認する方法には、CRLの他にOCSPという技術もあります。両者の違いやメリット・デメリットについては、こちらの記事で詳しく解説しています。 → CRLとOCSP徹底比較!PKIにおける失効証明書管理の重要性

なぜ階層構造に?ルートCAと中間CA

CAは、セキュリティと運用効率を高めるために、階層構造で構築されるのが一般的です。

graph TD
    subgraph CA階層
        RootCA[ルートCA<br>(最上位)]
        subgraph 中間CA層
            SubCA1[中間CA 1]
            SubCA2[中間CA 2]
        end
    end
    RootCA -- 署名 --> SubCA1;
    RootCA -- 署名 --> SubCA2;
    SubCA1 -- 署名 --> UserCert1[利用者証明書 A];
    SubCA2 -- 署名 --> UserCert2[利用者証明書 B];

  • ルートCA (Root CA)

    • PKI階層の最上位に位置する、最も重要なCAです。
    • 自身の正しさを自ら証明する「自己署名証明書」を持ちます。
    • セキュリティを最優先するため、通常はネットワークから切り離されたオフライン環境で厳重に保管され、中間CAの証明書を発行する時だけ起動されます。

  • 中間CA (Intermediate CA)

    • ルートCAによって署名(信頼を付与)されたCAです。
    • 日常的なユーザーやサーバーの証明書発行は、この中間CAが担当します。
    • 万が一、中間CAの秘密鍵が漏洩しても、ルートCAがその中間CAを失効させることで、被害を限定的な範囲に食い止めることができます。

このようにCAを階層化するのは、万が一のインシデント発生時にPKI全体の信頼が崩壊するのを防ぐための、非常に重要なセキュリティ設計なのです。

RA(登録局)の役割:CAを支える「厳格な門番」

RA(Registration Authority:登録局)は、証明書発行プロセスにおいて、厳格な本人確認を専門に担当する機関です。

CAが証明書を発行する前段として、RAは以下の重要な役割を担います。

  • 申請受付: 利用者からの証明書発行申請を受け付けます。
  • 本人確認・審査: 申請者が本当に本人であるか、組織に在籍しているかなどを、定められたポリシーに従って厳格に審査します。
  • CAへの連携: 審査が完了し、承認された申請のみをCAに連携します。

RAを設置するメリットとは?

RAは必須の構成要素ではありませんが、特に企業などの組織でPKIを運用する上で、以下のような大きなメリットがあります。

  1. CAの負荷軽減とセキュリティ向上: 本人確認という煩雑な業務をRAに分担させることで、CAは発行・失効というコア業務に専念できます。これにより、CAへのアクセスを限定でき、セキュリティが向上します。
  2. 本人確認プロセスの専門分化: 例えば、従業員証明書を発行する場合、申請者の在籍確認は人事部が最も得意です。このように、本人確認に最適な部署をRAとして指定することで、プロセスの精度と効率が向上します。
  3. 地理的な分散: 本社にCAを設置し、各支社にRAを設置することで、遠隔地の従業員もスムーズに証明書の申請ができます。

私が担当するシステムでも、情報システム部がCAを管理し、各事業部の総務担当者がRAとして、所属メンバーの本人確認を行う体制を敷いています。これにより、セキュアで効率的な証明書ライフサイクル管理が実現できています。

PKIを支えるその他の重要な要素

CAとRA以外にも、PKIを円滑に運用するためには以下の要素が重要です。

  • リポジトリ (Repository)
    • 発行された電子証明書や、証明書失効リスト(CRL)を保管し、誰でもアクセスできるように公開しておく場所です。ディレクトリサービス(LDAPやActive Directoryなど)が利用されることが多いです。
  • VA (Validation Authority / 検証局)
    • 証明書の有効性をリアルタイムで問い合わせできる機関です。OCSP(Online Certificate Status Protocol)というプロトコルを用いて応答するため、「OCSPレスポンダ」とも呼ばれます。CRLをダウンロードする手間が不要になるため、利便性が高いです。
  • 証明書ポリシー (CP) / 認証実施規程 (CPS)
    • PKIの「法律」や「運用マニュアル」にあたる非常に重要なドキュメントです。
    • CP (Certificate Policy): 証明書がどのような用途に利用でき、どの程度の信頼性を持つのかを定めた「方針書」です。
    • CPS (Certification Practice Statement): CAがどのように証明書を発行・管理するか、具体的な手順を定めた「実施規程」です。

    これらのポリシーを策定し、遵守することは、PKI運用におけるITガバナンスそのものと言えます。

    関連情報: このような組織全体のルール作りや統制の考え方については、こちらのITガバナンスに関する記事でさらに詳しく解説しています。 → 【情シス担当者必見】ITガバナンスとコンプライアンス遵守のための実践ガイド

これらの要素がすべて揃って初めて、信頼性の高いPKIが実現します。

関連情報: 実際のPKI運用では、ポリシーの策定ミスや鍵管理の不備など、様々なトラブルが発生します。私の経験談を交えた注意点はこちらの記事で解説しています。 → 【現場経験者が解説】PKI導入・運用の注意点とよくあるトラブル事例

まとめ:CAとRAの連携がセキュアなPKIの鍵

今回は、PKIの主要な構成要素であるCAとRAの役割と違いについて、詳しく解説しました。

  • PKIは、安全な通信を実現するための「信頼の基盤」。
  • CA(認証局)は、証明書を発行する**「発行局」**であり、PKIの信頼性の源泉。
  • RA(登録局)は、厳格な本人確認を行う**「受付窓口」**であり、CAの信頼性を担保する門番。
  • CAは階層構造にすることで、最上位のルートCAの安全性を確保する。
  • RAを設置することで、CAの負荷を軽減し、よりセキュアで効率的な運用が可能になる。

CAとRAは、それぞれが異なる専門的な役割を担い、連携することで初めてPKI全体の信頼性が保たれます。この役割分担を正しく理解することが、堅牢なセキュリティシステムを構築するための第一歩です。

この記事が、あなたのPKIに対する理解を深める一助となれば幸いです。