トレンド解説 2023/10/25

デジタル証明書とは？役割・種類・仕組みをわかりやすく解説

デジタル証明書は、インターネット上で安全な取引を実現するための重要な技術です。デジタル証明書を用いることで、本人確認やデータの改ざん防止などが実現できます。日常的に使われているデジタル証明書ですが「言葉は知っていても中身については詳しくない」という方は多いのではないでしょうか。

そこでこの記事では、デジタル証明書の概要から種類・仕組みと併せて、利用する際の注意点まで解説します。

デジタル証明書とは

デジタル証明書とは、デジタルの世界であるインターネット上での信頼性を確保するために発行される、電子的な証明書です。公開鍵暗号方式と認証局の組み合わせにより、なりすましやデータの改ざんなどを防ぎ、安全な通信を実現します。

公開鍵暗号方式や認証局については、後ほど詳しく解説します。ここでは、デジタル証明書の必要性、役割、主な用途について見ていきましょう。

デジタル証明書の必要性

デジタル証明書はインターネット上で安全に取引をするために欠かせない存在です。インターネット上では、直接相手の顔が見えるわけではないため、相手が誰であるのかがわからず、送信されたデータが改ざんされていないかも確認することができません。デジタル証明書はこのような問題に対処するための技術です。

例えば、Webサイトでデジタル証明書を用いれば、Webサイトの運営者が誰であるのかを証明し、データが改ざんされているかどうかを検出することができます。また、デジタル証明書を用いた電子署名を利用すれば、メールや契約書などの文書の改ざんも検出するとともに送信者の本人確認が行なえます。

このように、デジタル証明書はインターネット上での安全な取引を実現するために必要な技術なのです。

デジタル証明書の役割

デジタル証明書の役割はセキュアな通信を実現することであり、主に次の3点を目的とします。

・通信経路上の盗聴防止

・データの改ざん防止

・本人確認、なりすまし防止

デジタル証明書を用いることでデータは暗号化され、通信内容を保護します。もしもデータが改ざんされていた場合、文書の内容と復号化した内容が一致しないため、データの改ざんを検出、防止できます。また、本人しか持っていない秘密鍵を用いるため、本人確認やなりすまし防止も可能となります。

デジタル証明書の主な用途

デジタル証明書はさまざまな用途で利用されます。代表的な利用例としては次のようなものが挙げられるでしょう。

電子メール、クライアント、サーバー、アプリケーションの正当性評価
安全な電子商取引の実現
文書の電子署名
ネットワークセキュリティ

など

デジタル証明書は用途に応じてさまざまな使い分けが可能です。いずれの場合もセキュアな通信を実現するために、本人確認やデータ改ざん防止、通信内容の保護を目的として用いられます。

デジタル証明書の種類

用途に応じて、利用されるデジタル証明書の種類は異なります。ここではいくつかの代表的なデジタル証明書の種類を挙げ、簡単に解説します。

SSL/TLS証明書

SSL/TLS証明書は、主にWebサイトとユーザー間の通信を暗号化し、セキュリティを強化するために用いられるデジタル証明書です。Webサイトの運営者の認証・データの改ざん防止も実現します。

SSL/TLS証明書は非常に馴染み深いデジタル証明書の一つです。Webブラウザを使ってブラウジングしている際に、ブラウザのアドレスバーに緑色の鍵アイコンや「https://」と表示されている場合には、SSL/TLS証明書が利用されていると判断できます。

電子メール証明書・電子署名

電子メールの送信者の正当性を証明し、送信者のなりすまし防止やデータの改ざんを防止する目的で用いられます。「電子署名付きメール」とも呼ばれ、電子署名の仕組みを利用している点が特徴です。

電子メール証明書と電子署名はデータの安全性を確保し、法的な効力を持つ電子文書を送受信するためによく用いられます。S/MIMEやPGPなどの電子署名技術が使われることが多く、電子メールの安全性と信頼性を向上させるために欠かせないデジタル証明書の一つです。

クライアント証明書

クライアント証明書は、サーバーと通信する際にクライアントの正当性を証明するデジタル証明書です。サーバーへアクセスする際に、特定のクライアント（ユーザー）のみのアクセスを許可する際に用いられます。パソコンだけでなくスマートフォンなどにもインストールでき、許可された端末のみがアクセスできるようにするために用いられることが多いでしょう。

クライアント証明書を用いれば、突破されやすいID/パスワード認証から脱却することができ、認証強度を大きく高めることができます。

サーバー証明書

サーバー証明書は、主にクライアントがアクセスするWebサーバーの正当性を証明するデジタル証明書です。クライアントがアクセスするWebサイトが正規のWebサイトかどうかを判別するために用いられます。例えば、ECサイトやオンラインバンキングなどのWebサイトでは、安心して通信を行うために欠かせないデジタル証明書です。

サーバー証明書を用いることで通信が暗号化されるため、通信に不正に割り込んで盗聴や改ざんをする「中間者攻撃」や、偽のWebサイトに誘導して情報を盗み取る「フィッシング」への対策としても用いられます。

コードサイニング証明書

コードサイニング証明書は、ソフトウェア・アプリケーションの正当性を証明するデジタル証明書です。コードサイニング証明書にはソフトウェアの電子署名が含まれており、ダウンロードや実行時にチェックを行い、データの改ざんを検知・防止するために用いられます。

もしも、OSやセキュリティソフトなどの重要なソフトウェアでデータが改ざんされていた場合、ユーザーは気づかぬうちに情報漏えいや不正アクセスなどの被害に遭う可能性があります。

コードサイニング証明書はソフトウェアの正当性を証明することでユーザーの安全を守り、ソフトウェアの安全性と信頼性を向上させる、重要なデジタル証明書です。

デジタル証明書の仕組み

デジタル証明書の仕組みを理解する上で「公開鍵暗号方式」「認証局」「証明書チェーン」についての理解は欠かせません。ここでは、それぞれの要素と併せてデジタル署名の流れを解説します。

公開鍵暗号方式（秘密鍵と公開鍵）

公開鍵暗号方式とは、発行者のみが持つ「秘密鍵」と公開された「公開鍵」を組み合わせた暗号通信の技術です。秘密鍵は発行者のみが持つため一つですが、公開鍵は複数存在します。秘密鍵・公開鍵で暗号化されたデータは、対となる公開鍵または暗号鍵でしか復号化できません。そのため、正当性の評価やデータの改ざん検知・防止が行なえます。

例えば、サーバーの正当性を証明するサーバー証明書では、秘密鍵はサーバーが持ち、クライアント側に公開鍵が配布されます。クライアントは通信を公開鍵を使って暗号化するため、サーバー側でしか通信を復号化できず、安全な通信を実現できるのです。

認証局の役割

認証局（CA：Certification Authority）とは、デジタル証明書の管理を行う機関であり、主な役割はデジタル証明書の発行と失効です。認証局はデジタル証明書を発行する前に申請者の身元確認を行い、デジタル証明書に対する信頼性を確保します。その後、デジタル証明書の有効性に関する情報を提供するリポジトリに登録し、デジタル証明書が発行されます。デジタル証明書を利用する者（Webサイトの所有者など）の身元保証人のようなものと捉えられるでしょう。

また、デジタル証明書を必要に応じて失効することも認証局の役割の一つです。仮に秘密鍵が第三者に盗まれた場合、デジタル証明書が持つ正当性が揺るがされるため、発行済みのデジタル証明書は意味をなさなくなってしまいます。このような場合には、届け出を受けた後に認証局がデジタル証明書の失効処理を行います。

証明書チェーン

証明書チェーンとは、デジタル証明書の連なりのことです。認証局は下位の認証局を持つことができ、最上位の認証局を「ルート認証局」、下位の認証局を「中間認証局」と呼びます。例えば、サーバー証明書でそれぞれの認証局が存在する場合、サーバー証明書は中間認証局の秘密鍵によって署名され、ルート認証局によって署名された中間認証局の公開鍵（認証局証明書）が設定されています。クライアントはサーバー証明書を中間認証局の公開鍵で検証し、認証局証明書をルート認証局の公開鍵で検証します。このようなデジタル証明書の連なりを証明書チェーンといいます。

ルート認証局とデジタル証明書を利用したいサーバーの間で完結できればよいのですが、世界中のサーバーがルート認証局に申請を集中してしまうと、対応しきれなくなってしまいます。そのため、中間認証局を用いてデジタル証明書の正当性を担保しつつ適切に運用できるよう、このような仕組みが取られているわけです。

デジタル証明書によるデジタル署名の流れ

デジタル証明書によるデジタル署名とは、データの送信者が正当であることを証明するために使用され、データの完全性を保護するための仕組み・技術です。デジタル署名の流れを簡単に表すと次のとおりとなります。

暗号化

1.電子文書のハッシュ値を算出

2.ハッシュ値を秘密鍵を使って暗号化

3.電子文書・暗号化したハッシュ値を受信者に送信

復号化・検証

1.事前に受け取った公開鍵でハッシュ値を復号化

2.電子文書のハッシュ値を算出

3.復号化したハッシュ値と算出したハッシュ値を比較

4.一致していれば改ざんなしと判断

ハッシュ値とは、データを圧縮する「ハッシュ関数」によって導き出される値のことであり、同一のデータでない限りは同一のハッシュ値になりません。そのため、ハッシュ値を比較することでデータの改ざんの検知ができる仕組みです。

また、秘密鍵と公開鍵は1つのセットであり、復号化できる時点で送信者の正当性を確認できます。このことから、デジタル署名はデータ送信者の正当性の確認と改ざんの検知・防止が実現できるというわけです。

デジタル証明書の注意点

便利なデジタル証明書ですが、利用する際にはいくつかの注意点に留意する必要があります。

デジタル証明書には有効期限が存在する
即座に発行されるとは限らない
信頼性が低い認証局を利用しない

デジタル証明書には有効期限が設けられており、有効期限を過ぎると信頼性が低下します。具体的には、暗号化通信ができなくなる、デジタル署名ができなくなる、などが発生し、基幹システムで利用している場合には、通信ができなくなる可能性もあるため注意が必要です。デジタル証明書の有効期限が過ぎる前に、定期的に更新する必要があります。

また、デジタル証明書は認証局で身元確認などが行われた後に発行されるため、即座に発行されない場合がほとんどです。申請してから数日程度はかかると考えましょう。認証局を自身で用意してデジタル証明書を発行することも可能ですが（プライベート認証局）、一般的に信頼を提供できる範囲が限定されます。社内だけなどの限られた範囲で利用する分には問題ありませんが、公開サーバーなどでデジタル証明書を利用する場合は、第三者の認証局（パブリック認証局）を利用するようにしましょう。