トップ > セキュリティ技術解説 > PKIの仕組みをゼロから解説!証明書・公開鍵・秘密鍵の役割とは

PKIの仕組みをゼロから解説!証明書・公開鍵・秘密鍵の役割とは

セキュリティ技術解説
プロフィールアイコン

筆者名:城咲子(じょう せきこ)

情報システム部でセキュリティを担当している城咲子です。セキュリティに関する情報や日常の出来事(グチやボヤキ笑)などを発信していきます。(情報処理安全確保支援士/登録セキスペ/CISSP)

\ 好きなことば /

  • 最小権限の原則
  • 測定できなければ管理できない!
  • 失敗する可能性のあるものは、いずれ失敗する。

詳しいプロフィールはこちら

こんにちは、情報セキュリティ担当の城咲子です。

前回の記事で、情報セキュリティマネジメント試験の攻略法について解説しましたが、今回は情報セキュリティの根幹を支える技術の一つである「PKI(公開鍵基盤)」について、初心者の方にも分かりやすく解説します。

公開鍵?秘密鍵?」「証明書って何?

そう思われた方も多いかもしれません。PKIは情報セキュリティを学ぶ上で避けて通れない重要な概念ですが、その仕組みは少し複雑に感じられることがあります。

本記事では、PKIを構成する主要な要素である「証明書」「公開鍵」「秘密鍵」に焦点を当て、それらがどのように連携して通信の「機密性」「完全性」「真正性」を守っているのかを、できる限りシンプルに、ゼロから解説します。

この記事を読めば、PKIの全体像がクリアになり、今後の学習がスムーズに進むはずです。

1. なぜPKIが必要なのか?〜公開鍵暗号方式の課題〜

PKIの解説に入る前に、まず「公開鍵暗号方式」について簡単に触れておきましょう。

公開鍵暗号方式は、暗号化と復号に異なる鍵(公開鍵秘密鍵)を使用する暗号方式です。

  1. 暗号化: 相手の公開鍵でデータを暗号化します。
  2. 復号: 暗号化されたデータは、公開鍵とペアとなる秘密鍵でのみ復号できます。

この方式の最大のメリットは、公開鍵を不特定多数に公開しても、秘密鍵さえ安全に管理されていれば、安全な通信ができることです。

しかし、ここに一つの大きな課題があります。

それは、「この公開鍵は本当に通信相手のものなのか?」という疑問です。

悪意のある第三者が、あなたの通信相手になりすまし、偽の公開鍵を送りつけてくるかもしれません。これでは、どんなに強固な暗号方式を使っても意味がなくなってしまいます。

この「公開鍵の正当性」を保証するために生まれた仕組みが、PKI(公開鍵基盤)なのです。

2. PKIの主要な3つの要素

PKIは、以下の3つの主要な要素で成り立っています。

  1. デジタル証明書(電子証明書):

    • 役割: 公開鍵と、その公開鍵の所有者(個人や企業)の情報を紐づけ、信頼できる第三者(認証局)が正当性を保証した「身分証明書」のようなものです。
    • 内容:
      • 公開鍵
      • 証明書の所有者情報(氏名、組織名など)
      • 有効期限
      • 発行者(認証局)の情報
      • 発行者(認証局)のデジタル署名

  2. 公開鍵と秘密鍵:

    • 公開鍵: 誰でも自由に入手・利用できる鍵です。主にデータの暗号化や、デジタル署名の検証に使われます。
    • 秘密鍵: 鍵の所有者だけが厳重に管理する鍵です。公開鍵で暗号化されたデータの復号や、デジタル署名の作成に使われます。

  3. 認証局(CA: Certificate Authority):

    • 役割: デジタル証明書を発行する、信頼のおける第三者機関です。証明書を発行する際には、申請者の身元を厳格に確認し、公開鍵と所有者情報を紐づけた証明書に、自身のデジタル署名を付与します。

3. PKIの仕組みをステップで理解する

これらの要素がどのように連携して、安全な通信を実現しているのか、具体的な流れを見ていきましょう。

【PKIの通信プロセス】

  1. 証明書の発行:

    • WebサーバーAは、認証局(CA)に「私の公開鍵と身分証明書を作ってください」と申請します。
    • 認証局は、WebサーバーAの身元を厳格に確認し、公開鍵とWebサーバーAの情報をまとめたデジタル証明書を発行します。この証明書には、認証局自身のデジタル署名が付与されます。

  2. 証明書の提示:

    • ユーザーBがWebサーバーAにアクセスすると、WebサーバーAは自身が持つデジタル証明書をユーザーBに提示します。

  3. 証明書の検証:

    • ユーザーBのWebブラウザは、受け取った証明書に付与された認証局のデジタル署名を検証します。
    • この検証には、事前にブラウザに組み込まれている「信頼された認証局の公開鍵」が使われます。署名が正しいと確認できれば、この証明書は本物であると判断できます。

  4. 安全な通信の開始:

    • 証明書が本物であると確認できたユーザーBは、証明書に記載されているWebサーバーAの公開鍵を使って通信データを暗号化し、送信します。
    • WebサーバーAは、自分だけが持っている秘密鍵を使ってデータを復号し、通信が成立します。

この仕組みにより、ユーザーBは「この公開鍵は、間違いなくWebサーバーAのものである」と確信を持って通信を開始できるのです。

なお、PKIには認証局の他にも、登録局(RA)や検証局(VA)といった構成要素がありますが、それらの詳しい役割については、こちらの記事で詳しく解説しています。 → CAとRAを徹底解説!PKIの構成要素を理解してセキュリティを強化する

4. まとめ:PKIは「オンラインの信頼」を築く基盤

PKIは、私たちが日常的に利用しているWebサイトのHTTPS通信や電子メールの暗号化など、様々なセキュリティ技術の基盤となっています。

  • 公開鍵暗号方式: データを暗号化・復号する技術
  • PKI: その公開鍵が「誰のものか」を保証する仕組み

この両輪が揃うことで、オンライン上の安全な通信が成り立っているのです。

今回の解説が、PKIの仕組みを理解する一助となれば幸いです。

これからも情報セキュリティに関する知識を分かりやすく解説していきますので、ぜひご覧ください。