3 Minutes NetWorking Supplement
No.14

3Minutes NetWorking Supplement

補講第14回PKI(1) 脅威

■ PKIとその背景

おねーさん

おね〜さんと、

ほげたん

ほげたんのっ!!

おねーさん

3 Minutes Networking、

ほげたん

Supplement !!

おねーさん

さて、ほげたん? 今回からは、PKI、をやりましょう。

ほげたん

あー、はいはい。PKIね。

おねーさん

あら、ほげたん知ってるんだ、PKI。じゃあ、PKIって何?

ほげたん

「公開鍵基盤」でしょ。

おねーさん

それは「Public Key Infrastructure」を日本語にしただけね。
もうちょっと具体的に?

ほげたん

え? ん〜〜〜っと、電子証明書とか、認証局とか、そういうの?

おねーさん

電子証明書とか、認証局がなんで「基盤 [Infrastructure]」なの?

ほげたん

そそそ、それは、インフラだから!?

おねーさん

いや、インフラって基盤と同じだから。
はい、ほげたん、残念〜。♪ちゃらっちゃらっちゃー♪

ほげたん

あー、僕のスーパーヒトシ君がー!!

おねーさん

今は「金のヒトシ君」とからしいわよ。 ▼ link
それはともかく、PKIってよく使われる言葉なんだけど、いまいちなんで「基盤」「インフラ」なのかがわかっていないわけでね。

ほげたん

ん〜、確かにそうかも、「PKI」って言葉がわりと一人歩きしてる感じ?

おねーさん

用語検索サイトとかを見ても、こう、なんかしっくりこないわけね。「公開鍵暗号を用いた技術・製品全般を指す言葉」って言われてもねぇ。PKIは「技術・製品」を表す「総称」じゃないの。ちゃんと「インフラ」だから、公開鍵「基盤」なの。

ほげたん

そーなの? なんで?

おねーさん

それは今回の最後でも話すけど。さらに「公開鍵暗号」「CA」「電子署名」などの技術を説明していくとより理解できると思うわ。
というわけで、今回からはこの話ね。

ほげたん

了解了解。

おねーさん

まず、今回のPKIの話は、IPAのコンテンツを参考にしています。ありがとう、IPA。 ▼ link

ほげたん

んん? 珍しいね、参考元こんな文中で説明するの。

おねーさん

ちょっと諸事情があってね。ちなみに、参考リンク読めばこっから先は読まなくてもいいわよ。何気にすごくデキがいいから。

ほげたん

……じゃあ、こんな講座やらなきゃいいじゃん。

おねーさん

そう言わないでよ。がんばってIPAの資料よりわかりやすくするからさ。

ほげたん

ん〜、ならばよし。

おねーさん

なんでアンタそんなに偉そうなの? 後で覚えときなさい
ともかく、近年のインターネットの普及のおかげかなんかしらないけど、電子商取引が非常に拡大してるわけね。

ほげたん

してるね。Amazonとかなかったらパパさん生きていけないよね。

おねーさん

ん〜、まぁAmazonみたいなコンシューマ向けのもあるし、企業間の取引も電子化してるわけね。えと、2004年までの資料しかないのね、ま、いいか。
2004年で102兆6,990億円、電子化率は14%、6年前の1998年が8兆6,200億円。

ほげたん

12倍?

おねーさん

一般コンシューマ向けは5.6兆円。2000年が8000億円だから、8倍ね。
あ、これは総務省の情報通信白書からね。 ▼ link

ほげたん

しぶいところから情報ひっぱってくるね。

おねーさん

そう? 白書って面白いわよ。一度目を通しておくと、なかなかいいわよ。
ま、ともかく、他にも日本政府は「電子政府」を目指して行政の電子化、まぁ書類とかを電子化するのをやってるの。e-Japan戦略の1つね。 ▼ link

ほげたん

はー。それにしても「首相官邸 高度情報通信ネットワーク社会推進戦略本部(IT戦略本部)」ってカッコイイ名前だよね。

おねーさん

電子署名法とか、IT 書面一括法とか、そっち系の法律も増えてきて、ま、そういう環境になって、実際、電子商取引が増えてるって話なわけね。参考リンクは電子署名法ね、「電子署名及び認証業務に関する法律」がホントの名前。ってそれにしても今回参考リンク多いわね。▼ link

ほげたん

これでも少なくしている方らしいよ。

おねーさん

さて、そんな電子商取引が活発になってるのはいいとしても、問題があるわよね。

ほげたん

あるの?

おねーさん

簡単に言えば、電子商取引は通常の商取引をまるっと電子化するわけよね。
前も話したかもしれないけど、電子化って要は「今まで文書とかでやってきたシステム」をそのままコンピュータに移しただけだから。

ほげたん

まぁ、そうだね。

おねーさん

つまり、電子化しても文書などと同じことができないと困るのよ。

ほげたん

なるほど。

おねーさん

ここで問題になるのが、セキュリティ。文書では問題にならなかったことが問題になるのよ。

ほげたん

ふむ〜、例えば?

■ ネットワーク上の脅威

おねーさん

文書でやりとりを行えば存在しなかった、もしくは危険性が低かった脅威がネットワークでは起き得るの。

ほげたん

脅威?

おねーさん

そう、ネットワークを使った取引を脅かす・無効にさせる脅威ね。
これは大きく分けて、4つ存在するわ。

  • 盗聴
  • 改ざん
  • なりすまし
  • 否認
ほげたん

「盗聴」「改ざん」「なりすまし」「否認」?

おねーさん

そう、その4つ。
順番に説明してきましょう。まず盗聴。

[FigureSP14-01:脅威:盗聴]

ほげたん

……この黒いのなに? なんかマフラーしてるけど?

おねーさん

ブラックほげたんよ。黒いニセモノは黄色いマフラーをするのが日本の様式美なの。

ほげたん

様式美ねぇ。

おねーさん

ともかく、このようにインターネットのようなオープンなネットワークでは第三者に見られてしまう危険性があるわけね。
これはインターネットだけじゃなくて、社内LANとかでもいえるわけだけど。

ほげたん

う〜ん、そっかぁ。流れてるデータを見られちゃうこともあるわけかぁ。

おねーさん

もちろんこれだけで電子商取引に影響がでるわけじゃないけど、情報を知った側によって何かの悪意のある行動がとれるわけね。

ほげたん

僕のクレジットカード番号が盗まれたら、僕の名前と支払いで買い物されちゃうよ。

おねーさん

まぁ、他にも取引の内容を知られたくないことだっていろいろあるわけね。
次の脅威が「改ざん」。

[FigureSP14-02:脅威:改ざん]

おねーさん

これの問題は、データは容易に改ざんできるという点と、改ざんされたことがわからないこと。
紙は改ざんされにくい媒体なのに対し、データはそうはいかないってのがこの脅威のポイントね。

ほげたん

紙って改ざんされにくいの?

おねーさん

うん。紙に書かれたものは、完全には消しにくいし、筆跡、筆圧などもあるしね。それに、紙は劣化するでしょ。劣化するから、作成されてからの時間もわかるわけ。

ほげたん

あー、なるほど。「これは昭和××年の文書です」って言って、真新しい紙だったらバレるもんね。

おねーさん

そうそう。でも、データは痕跡なく改ざんが可能なの。

ほげたん

なるほど。でもこの改ざんは凶悪だよね。商取引とか言ってられないじゃない。

おねーさん

でしょ。
3つ目が「なりすまし」。

[FigureSP14-03:脅威:なりすまし]

ほげたん

……詐欺?

おねーさん

まぁ、なりすましによって詐欺もできるよね、って話ね。他にも、なりすまして重要な情報を入手したりとかできるし。
「銀行ですが、パスワードを変更する必要がありますので、現在のパスワードと変更したいパスワードをお教えください」とか言ったりして。

ほげたん

フィッシングだ!!

おねーさん

そう、フィッシングもなりすましによる詐欺よね。
あとは偽メールなどで、悪い行動することによって、なりすました会社や人の悪評を立てたりとか。

ほげたん

なるほど、そういうのもアリなわけだ。

おねーさん

そ。これは商取引にとってわりと困るわよね。誰と取引してるかわからないってことだもの。
さて、最後は「否認」。

[FigureSP14-04:脅威:なりすまし]

ほげたん

ええええぇぇぇ、こんなんアリ?

おねーさん

アリでしょ。「改ざん」や「なりすまし」が存在するんだったら、このブラックほげたんの言い分は正しいわ。

ほげたん

でも、こんなことされたらさ、商品を送るだけ損じゃない。

おねーさん

そゆことね。まともな商取引ができるわけないわ。

ほげたん

だよね。

■ PKIとは

おねーさん

じゃあ、どうやってこれらのことを防げばいいのかしら?
電子商取引の元になっている、もともとの紙などを使用した商取引ではこれらのことを防いでいたからそれは成り立っていたわけよね。

ほげたん

そうだよね。いままではちゃんと商取引できたわけだし。

おねーさん

でしょ。じゃ順番に対策を考えましょう。「盗聴」を防ぐにはどうすればいいのかしら?
どうやったら悪意のある人物に文書を見られず相手に渡せるのかしら?

ほげたん

手渡し?

おねーさん

うんうん、手渡しは有効よね。でも、電子商取引の優位点の1つは「場所を選ばない」ところだから、必ず手渡しってわけにはいかないわ。
他には?

ほげたん

郵便? 郵便の人が悪意があるってのはナシね。

おねーさん

うん、郵便は確かに機密性が高いわね。でも郵便も、電子商取引では使えない。
じゃあ、どうする? 自分と相手だけ内緒話をしたい場合は? 軍隊などが使う手は?敵にバレないように命令をしたいときは?

ほげたん

…軍隊? 軍隊が敵に知られず命令を伝えたいときは………、暗号化だ!!

おねーさん

そゆこと。暗号化によって、自身と相手にだけわかる内容にしてしまう。これよね。

ほげたん

だよね。

おねーさん

じゃあ次。「改ざん」を防止したい場合は? これは契約書なんか知ってるといいと思うけど。

ほげたん

んん?

おねーさん

これはね、「割り印」なんかを使うのよ。2つの紙を重ねて印鑑を押すの。

ほげたん

あー、なるほど。割り印が重ならないと、正しい文書とはいえないわけだね。

おねーさん

そうそう。でも「割り印」は使えないので、同じ文書を2つ送るっていう手法をとるの。
送った2つが一致しないとどちらかが改ざんされたことになるわけね。

ほげたん

あぁ、なるほど。
……でも、2つとも改ざんされたらどうするの?

おねーさん

そこはひとひねりいるんだけどね。電子商取引ではデータのダイジェストの送付っていう手段をとるわ。

ほげたん

へー。ダイジェスト。
ダイジェストは改ざんされないの?

おねーさん

ま、その話はおいおい話すわ。
最後の「なりすまし」「否認」は根っこが同じよね。これを防ぐには?

ほげたん

これはわかるよ。本人であることを証明させればいいんだから、「署名(サイン)」や「印鑑」を文書にすればいいんだよ。

おねーさん

そう、本人証明、つまり認証ね。

  • 盗聴 …… 暗号化
  • 改ざん …… データのダイジェストの送付
  • なりすまし・否認…… 認証
おねーさん

これらのことがなされなければ、安全な商取引はできない。
これら脅威の対抗策としての技術が存在するんだけど、PKIとはその技術を利用可能な環境基盤のことなのよ。

ほげたん

その技術を利用可能な環境基盤? ちょっと意味がよくわからないよ。

おねーさん

これは先々で説明していくから、そのうちわかると思うけど。
暗号化、認証を誰でも使用可能な状態におき、その正しさを証明できるバックボーンがPKIなのよ。

ほげたん

バックボーン……、だから基盤、インフラってこと?

おねーさん

そう、PKIは特定の技術や製品を示す言葉じゃなくて、それらが使える環境基盤を指す言葉なの。
もっとぶっちゃけると、公開鍵暗号化を正しく使える基盤かな?

ほげたん

公開鍵暗号化……それを正しく使える基盤……。

おねーさん

ま、今はまだわからないかもしれないけどね。
ってことで、また次回。

ほげたん

あいあい。

おねーさん

おね〜さんと、

ほげたん

ほげたんのっ!!

おねーさん

3分間ネットワーク、

ほげたん

サプリメントでした〜〜〜っ!!

おねーさん

あ、忘れてた (ボクッ!!)

ほげたん

ぐはっっ!! きゅ、急に何で?

おねーさん

さっきの

PKI
[Public Key Infrastructure]
「公開鍵基盤」と翻訳される。読みは「ぴーけいあい」。
IPA
[Imformation-Technology Promotion Agency,JAPAN]
独立行政法人、情報処理推進機構。プログラムの開発や利用促進、研究開発などを行う政府関連機関。ご存知、情報処理技術者試験もココがやってます。日本のソフトウェアやセキュリティの元締め?の1つ。
読みは「あいぱ」。
フィッシング
[phishing]
正規の企業などになりすましたメールやWebサイトにより、個人情報などを入手する詐欺手法の1つ。
ほげたんほげたんの今日のポイント
  • 電子商取引は年々増加している。
    • 今までの商取引で問題にならなかったセキュリティの問題が電子商取引には存在する。
  • 電子商取引を脅かす・無効にさせる脅威がある。
    • 盗聴・改ざん・なりすまし・否認の4つ。
    • 暗号化・データのダイジェスト送付・認証で対向する。
  • 脅威の対抗策を正しく利用可能にするインフラがPKI。

3 Minutes NetWorking Supplement No.14

管理人:aji-ssz(at)selene.is.dream.jp