サーバー証明書?暗号ファイルシステムの基礎

サーバー証明書?暗号ファイルシステムの基礎

証明書とは

証明書(Certificate)とは、自身が正しい存在であることを示すために用いる仕能みです。現実社会では運転免許証やパスポートなどが証明書になりますが、コンピューターの世界ではこの証明書が「サーバーの存在証明」や「暗号化通信を行うための信頼の基礎」になります。

また、電子署名を行う場合に証明書が用いられることもあります。なお、サーバーで使われる証明書は「サーバー証明書」と呼ばれます。証明書には「証明書の発行者」「発行を受けた者」「有効期限」などの情報が含まれます。

証明書を発行するための仕組み

運転免許証などの物理的な証明書は公的機関が発行しますが、コンピューターの世界の証明書は、認証局(CA:Certificate Authority)と呼ばれる機関が発行します。

また、認証局を維持運用する仕組みをPKI(Public Key Infrastructure:公開鍵基盤)と呼ぶことがあります。PKIは、信頼ある企業が運営することもあれば、国が運営することもあります。国が運営する PKI をGPKI(Government PKI) と呼びます。

証明書の検証方法

個々のサーバー証明書を検証するには、「証明書を発行した認証局の証明書」が必要です。こういった、証明書を検証するための証明書のことを「ルート証明書」や「中間証明書」などと呼びます。ルート証明書は、通常は OS やブラウザなどといっしょに配布されるため、ユーザーが気にすることはありません。

一方、中間証明書は「サーバーを運用する側サーバー証明書とともにサーバーに格納し、使えるようにします。その他、証明書の有効期限前に証明書を無効にすることがあります。このために用いられるのが失効リスト(CRL: Certificate Revocation List)、もしくは OCSP(Open Certificate Status Protocol)による証明書の有効性確認です。

暗号化ファイルシステムとは

暗号化は「鍵を持っている人だけがデータを読めるようにする技術」ですが、ここで解説する暗号化ファイルシステムは「ファイルシステムそのものに暗引化機能を追加することによって、ファイルを暗号化する技術」です。なお、Windowsには暗号化ファイルシステムの機能が標準で用意されています。

暗号化ファイルシステムを用いれば、ユーザーは対象のファイルが暗号化されているのか、暗号化されていないのかを意識する必要はありません。ファイルへのアクセス権によって自動的に処理されるため、アクセス権が付与されていれば開覧でき、付与されていなければ閲覧できないだけです。

暗号化ファイルシステムの長所と短所

暗号化ファイルシステムでは、ファイルを読み書きする際に暗号化に使う鍵が必要です。この鍵は通常、ユーザー認証などを完了させると使えるようになるため、記憶装置を直接読み書きするような方法ではファイルを読み出すことはできません。

これは言い換えるなら「コンピューターから記憶装置のみを取り外して直接読みそうとしても読み出せない」ということです。このため、暗号化ファイルシステムを利用すれば、ノート PCなどを紛失した場合でも情報漏えいのリスクを下げることができます。

このような、暗号化ファイルシステムの堅牢なセキュリティ技術は、通常運用時には非常に便利なのですが、その反面、トラブル発生時(ディスク破損など)にディスクからデータを救出するのが困難になるという短所も併せ持っています。

Windows で使用可能な暗号化ファイルシステムイーエフエスビットロッカーWindows で利用可能な暗号化ファイルシステムには「EFS」や「BitL0cker」 があります。どちらの技術を利用するかは、システムの利用状況や必要な条件をも加味して決定します。

セキュリティカテゴリの最新記事