JNSAが進めるPKI相互接続試験プロジェクト
| 【国内記事】 | 2001.12.07 |
日本ネットワークセキュリティ協会(JNSA)は12月6日,Internet Week 2001のプログラムの1つとして,「JNSAセキュリティセミナー」を開催した。
JNSAでは,さまざまな技術部会ワーキンググループ(WG)を設置し,セキュリティに関する活動を行っている。そのうちの1つ,CA相互接続WGでは,複数の認証局(CA)を用いたPKI相互運用試験を進めている最中だ。今回のセッションでは,同WGのリーダーを務めるセコムトラストネットの松本泰氏によって,「Challenge PKI 2001」という相互運用実験に関する解説が行われた。
PKIがインフラになるために
Challenge PKI 2001は今年スタートしたPKI相互運用実験プロジェクトで,9つのPKI関連ベンダー/学術団体が参加している。マルチベンダーPKI,マルチPKIドメインの実現に向け,相互運用性にまつわる問題を明らかにしていくことが目的だ。
「例えば,電源にコンセントをつなぐときに“うちの会社の製品でないとつなげません”などということはあり得ない。PKIがインフラとなるには,これと同じように,どんなベンダーが開発した製品でも,どの認証局(CA)が発行した証明書でも,同じように扱えるようにならなければならない」(松本氏)
もちろんこれまでにも,GPKI(政府認証機関)関連を含め,国内外で複数のPKI相互接続プロジェクトが行われている。その中には,米連邦ブリッジ認証局(GPKI)を利用した「EMA Challange 2000」や,日本・韓国・シンガポールの3カ国によって行われた「3国間相互運用性実証実験」などがある。
Challenge PKI 2001の特徴は,実験で利用されるCAの数だ。9つのCA製品/サービスについて,それぞれ相互運用性を検証する。
また,他のプロジェクトでも検証が行われてきたS/MIMEだけでなく,SSLクライアント認証やIPSecなどの各種アプリケーションに踏み込んで検証,テストを行う方針だ。さらに,比較的よく知られた階層モデルだけでなく,相互認証モデルや,技術的に複雑な要件が求められるブリッジモデルまで,3つの信頼モデルについて実験を行う。
各製品や標準へのフィードバックも
松本氏によれば,年内にも,試験環境構築を終え,実際の相互接続検証作業を開始する予定という。
PKIの相互接続には,独特の難しさがあると松本氏は言う。つまり,X,509標準が非常に汎用性が高く,柔軟性に富むものであるがゆえに,ベンダーによる実装がばらばらになっており,各社独自の拡張部分の整合性をどのように取るかが問題となっているそうだ。松本氏はさらに,次のように語っている。
「もう1つ難しいのは,大きなPKIドメイン(ネットワーク)になれば,さまざまな証明書が混在することになり,セキュリティレベルが下がる可能性があるということ。そこで,複数のCAネットワーク間での自動的なポリシーコントロールが重要になってくる」(松本氏)
マルチPKIドメインの実現には,技術的な問題のみならず,今はばらばらに動いている各業界ごとのPKIドメインをどのように接続していくかという,ビジネス的な側面からの検討も欠かせない。
だが松本氏は,PKIの現状と目指すゴールとの距離は非常に遠いとしながらも,「国境や業種を超えた取引を安全に行おうとすると,マルチドメインPKI環境は避けられない」と述べた。なお実験結果については,各ベンダーのPKI製品やPKI標準へフィードバックしていく方針という。
関連リンク
[高橋睦美 ,ITmedia]
