JPCCA (JCA-NET/POEM Community Certificate Authority)について
セキュリティ証明書
ショッピングサイトなど、安全な通信が必要とされるサイトでは、ベリサインなどをはじめとする証明機関(認証局、Certificate Authority)によって発行されたセキュリティ証明書を使っています。
このセキュリティ証明書は、いわゆる「SSL(またはTLS)」の通信で使われます。つまりユーザーが接続先のサイトの身元を確認するために使われるとともに、高度な暗号技術を使ってその情報が偽造あるいは改竄されていないこと、暗号化された通信経路を使うことでそのサイトとの通信が外部に漏洩しないようにするために使われます。
しかしセキュリティ証明書と言っても、いくつかの種類があります。
商用で使われるセキュリティ証明書は、専門の認証局によって発行されます。たとえばJCA-NETでも専門の認証局により発行されるセキュリティ証明書を使っていますが、このような証明書は発行にあたって法的に本人確認が可能な文書の提出が義務付けられ、一般にサイトの証明としての信頼性が高いと考えられています。
また、ウェブ・ブラウザやメールソフトには、あらかじめこれらの信頼できる認証局の情報が登録されています。そのため接続したサイトが提示するセキュリティ証明書の内容を自動的に検証することができます。
しかし、その反面、専門企業によるセキュリティ証明書には、いくつかの欠点もあります。
たとえば、証明書の発行に必要な料金は1年間で数万円から数十万円と、決して安くはありません。予算規模の小さい市民団体やNGO、労働組合単組などには、かなりの負担になります。
また、証明書の発行に法的な書類が必要となることによる問題もあります。たとえば証明書の発行には法人登記の証明書などが必要になるため、個人や任意団体による証明書の取得は困難です。
JCA-NETでは、ユーザー向けサイトで利用するために上述のように専門の認証局によって発行されたセキュリティ証明書を使っていますが、それとは別にJCA-NETサービスを運用する株式会社市民電子情報網(POEM)が運用する独立した認証局(JPC-CA)が発行した証明書も使っています。JPC-CAは、外部の商用セキュリティ証明書を発行する企業からの証明を受けずに、JCA-NET/POEMが独自に運用する認証局です。
ルート証明書
セキュリティ証明書が本当に信頼できるかどうかを確認するための情報が「ルート証明書」です。
ルート証明書は、各サイトに発行された証明書が偽造されたものではないことを確認するための情報です。ルート証明書が偽造されたものではないことを確認する情報は…、ありません。
つまり、ルート証明書は100%信頼できなければなりませんが、一般のインターネットユーザーがルート証明書の真偽をいちいち確認することは現実的に不可能です。そのためウェブブラウザなど一般的なインターネット・アプリケーションには、そのアプリケーションのメーカーによって確認された認証局のルート証明書が組み込まれています。
しかしJPC-CAは市民電子情報網が独自に運営する認証局なので、通常のインターネット・アプリケーションにはJPC-CAの情報が登録されていません。そのためブラウザやメールソフトがJPC-CAが発行した証明書を読み込むと、「証明書を検証できない」といった意味のメッセージが表示されます。ウェブサイトやメールソフトなどでJPC-CAのセキュリティ証明書を使う場合は、利用者が自分でブラウザなどにJPC-CAの「ルート証明書」と呼ばれる情報を登録することが必要です。
JPC-CAの目的
JPC-CAの主な目的はJCA-NETサービス内部で安全にサーバを運用するための証明書の発行です。組織内部のシステムでは、組織の運営者が発行した証明書(JPC-CAが発行した証明書)は完全に信頼できますから、商用の認証局に証明書の発行を依頼する必要はありません。
このような用途の具体例としては、たとえばJCA-NETのメールシステムがあります。JCA-NETでは、いくつものメールサーバが協調してメールの配送処理を行っています。それぞれのメールサーバがセキュリティ証明書を確認することで、メールサーバの一部が外部の第三者に置き換えられることを防ぎ、会員間でやりとりされるメールのプライバシーを守ることができます。
JPC-CAのもうひとつの目的は、JCA-NET利用者に対して安全な通信環境を提供することです。
たとえば、JCA-NETでは電子メールやウェブサイトの更新のためのFTPアクセスなどに、TLS(SSL)と呼ばれる通信保護機能を利用することができます。これにより、外部の第三者がJCA-NETユーザの電子メールの内容を盗聴したり、パスワードを盗むことを防ぐことができ、安全にJCA-NETを利用することができます。
JPC-CAは、JCA-NETのさまざまなサービスでTLS(SSL)の機能を利用するためのセキュリティ証明書を発行しています。
さらに、JPC-CAは、JCA-NETユーザーに対してユーザーが運用するウェブサイトや電子メールの暗号化などに利用するためのセキュリティ証明書を発行しています。
しかし、前記のようにユーザーが利用するインターネット・アプリケーションにはJPC-CAの情報が登録されていないため、各自のウェブサイトやメールでこの証明書を利用する場合は、利用者がJPC-CAのルート証明書を組み込む作業が必要になります。JPC-CAのルート証明書を組み込む方法は、次の記事で説明します。
添付 | サイズ |
---|---|
JPCCA-cacert.pem | 2.67 KB |