MENU

電子署名の安全性に欠かせない「プライベート認証局」とは?

  • URLをコピーしました!

 

電子契約を始めるなら今がチャンス!

 

 

ただいまGMOサインでは基本料金&送信料が2カ月間無料で利用できる超おトクなキャンペーンを実施中です。

ユーザー数や送信数などといった機能制限なし!しかも“2カ月間無料”でお試しいただけるチャンスですので、この機会にぜひお申込みください。また、無料期間中も解約することができます。 無料期間中に解約をした場合、料金は発生しませんのでご安心ください。

 

\ まずは無料トライアル /

 

 

昨今、仕事における取引や契約書などの書類は、電子上でやり取りされる機会が増加しました。電子上での取引には数多くのメリットがある一方で、悪意ある第三者からのセキュリティ攻撃や、個人情報流出のリスクも懸念されています。特に仕事に関わる契約書などは重要な情報を記載していることも多いため、電子取引には高い安全性が必須です。当記事では、電子署名の安全性確保に欠かせない要素であるプライベート認証局について、概要や構築方法を紹介します。

目次

プライベート認証局とは?

電子上での取引は、場所を選ばずに可能なため、大変便利な一方で、なりすましや情報漏洩など、悪意ある第三者による攻撃のリスクが付き物です。こうした被害に遭ってしまうと自身はもちろん、取引相手やサービス利用ユーザーの情報流出につながるなど、社会的な信用を失墜させてしまう恐れもあります。このようなリスクを回避するために、取引を行う人物や機器の信頼性について認証を行うのが認証局です。

認証局の役割には複数ありますが、主な役割が電子証明書(デジタル証明書)の発行です。電子証明書を発行することで、Webサイトが安全なサイトであるかどうかを証明して、個人や会社が正しく存在していることを明確にします。なりすましやデータの改ざんを防ぐためには必要不可欠な技術であり、安全性を確かめるための一つの大きな指標となっています。

社内システム利用やネットワーク構築を行う場合は、コスト面を考えて、個人や自社で認証局を開設したいケースもあります。その場合に用いられるのがプライベート認証局 です。プライベート認証局を独自に開設することで、文字通りプライベートで利用可能な証明書を発行することができます。前述した社内システムや社内ネットワーク構築、その他学習目的や個人で利用するサーバーの運用時などは、プライベート認証局を利用するケースが多いです。

パブリック認証局との違い

認証局には、プライベート認証局の他にパブリック認証局が存在します。パブリックとは、プライベートの対義語です。そのため、パブリック認証局は、公的に証明書を発行できる認証局のことを指します。

社内や個人利用などの限定的な場ではプライベート認証局を利用する場合があります。しかし、さらに広い範囲、つまり公の場で取引の透明性や改ざん防止を証明するためにはパブリック認証局を利用することが必要です。パブリック認証局は、公の電子取引で利用されるものであるため、その信頼性は非常に高くなっています。ただし、利用には数千円、場合によっては十万円以上のコストが掛かる場合もあります。

一方でプライベート認証局の場合は、パブリック認証局に比べてコストを大幅に抑えられるため、利用用途に応じて適切に使い分けることが理想です。パブリック認証局は、第三者機関により構築されています。そのため、利用に際しては認証局ごとに定められたルールに従う必要があります。その一方でプライベート認証局の場合は、構築も自身で実施するため、設定も自由にカスタマイズ可能です。

電子印鑑GMOサインでは、証明書の発行元(認証局)の正当性を客観的に証明するルート証明書や、
書面の非改ざん性を証明をする認定タイプスタンプが標準付与されています。
信頼できる第三者機関から発行されていることや、文書の非改ざん証明が確実な点で、
電子署名のセキュリティ担保において信頼性が高いです。
▷GMOサインのセキュリティの取り組み

プライベート認証局の立ち上げから設定までの手順

プライベート認証局は自身で立ち上げることが可能であるため、手順を理解しておけば誰でも構築できます。プライベート認証局を立ち上げる方法はいくつかありますが、ここでは、無償利用可能なソフトウェアであるOpenSSLを使った代表的な構築方法の手順をご紹介します。OpenSSLを使った構築には、CUIによるコマンド操作にある程度慣れておく必要があるため、事前に操作方法を覚えておくことをおすすめします。

OpenSSLのインストール

OpenSSLとは、データ暗号化の技術であるSSLやTLSといった暗号通信プロトコル機能を実装しているプログラムです。この機能を使って通信を暗号化することで、情報漏洩やデータ改ざんといったセキュリティリスクを防止できます。OpenSSLはオープンソースのソフトウェアであるため、インストールも無料で可能です。まずは、公式サイトよりOpenSSLをインストールしてください。

OpenSSLのインストール後は、ターミナルやコマンドプロンプトを管理者権限で実行した後に各種設定を行う必要があります。それぞれのツールの利用方法などについては、各自で事前に調べておくと良いでしょう。作業が慣れないうちは、一人ではなく複数人で確認しながら進めていくことをおすすめします。

ルートCA証明書・中間認証局の作成

インストール直後のデフォルト設定では、OpenSSLはプライベート認証局に適した設定にはなっていないため、前述したターミナルやコマンドプロンプトにて設定ファイルを編集してプライベート認証局を作成しなければなりません。そのための手順としてルートCA証明書の作成、中間認証局の作成という2つの作業を行います。

ルートCA証明書とは、認証局により署名される最上位の証明書です。この証明書により、安全にインターネットを利用できる条件を満たすことができます。中間認証局とは、ルートCA証明書とエンドユーザーとの間に位置するもので、ルート認証局による身元保証のもと、SSLサーバー証明書に署名が可能な認証局です。少々複雑ではありますが、この2つの作成作業を行うことでプライベート認証局は作成できます。プライベート認証局が作成できたら、続けて以下の手順を実施することで実際に利用できる形にしていきます。

サーバー証明書の発行

プライベート認証局の作成後は、サーバー証明書の発行を行います。サーバー証明書を発行してWebサーバー上にインストールすることで、SSLの暗号化通信が利用可能になります。サーバー証明書の発行は暗号化通信のためだけではなく、Webサイト運営者の身元を確認するためにも必要な作業です。証明書があることで、サイトに訪れたユーザーに安全性を示すことができます。サーバー証明書は、ターミナルやコマンドプロンプト上で秘密鍵を作成することで発行可能です。「OpenSSL 証明書 作成」 などと検索すればコマンドプロンプトを用いた証明書の発行方法も数多くヒットするため、実践してみてください。

Webサーバーへの証明書設定

サーバー証明書を発行できた後は、対象のWebサーバーに設定します。この設定を行うことで、Webサーバー上で証明書が利用可能になります。Webサーバーへの証明書設定もターミナルやコマンドプロンプト上で可能です。前述の手順で作成したサーバー証明書と秘密鍵をそれぞれ設定していきます。

ルート証明書をクライアントへインストール

プライベート認証局の場合、利用するにはクライアント側の端末にルート証明書をインストールすることが必要です。インストールには、Windowsの場合証明書マネージャーをコントロールパネルより開くことで、ルート証明書が個別にインストール可能になります。以上でプライベート認証局の立ち上げから設定までの手順は完了です。

プライベート認証局を簡単に構築できるサービス

上記はOpenSSLを利用した立ち上げから設定までの手順ですが、大人数のプライベート証明書を作成する際は、コマンド作業も手間がかかってしまいます。そのような場合はOpenSSLではなく、他のソフトウェアを使ってプライベート証明書を作成することも候補に入れておきましょう。しかし、OpenSSLを利用しての立ち上げと比べるとコストが掛かってしまう場合もあるため、状況に応じた適切な使い分けが重要になります。以下に、プライベート認証局の構築に利用できる代表的なサービスを紹介します。

OpenXPKI

OpenXPKIは、OpenSSLと同様にオープンソースソフトウェアとして公開されているプライベート認証局構築ツールです。OpenSSLとの大きな違いは、コマンドプロンプト上の操作であるCUIだけではなく、直感的に操作ができるGUIでの管理・運用が可能になっている点にあります。GUIによって大規模なプライベート証明書の作成作業などが比較的行いやすいのが特徴です。OpenXPKIはオープンソースであるため、利用料自体は無料です。

ACM

ACM(AWS Certificate Manager)は、Amazonが提供するAWS(Amazon Web Service)のサービスのひとつです。こちらもOpenSSLのCUI操作に比べると直感的で操作しやすいソフトウェアになっています。しかし、従量課金制として料金が発生する点には注意が必要です、初回登録時は無料トライアルが30日間有効となっていますが、それ以降は有料プランへと移行しなければ利用の継続できないようになっています

プライベート認証局はコスト削減に大きく役立つ

プライベート認証局は、基本的に利用料金が無料です。そのため、社内システムや私的利用のサーバーなど、限定的な利用目的の場合はパブリック認証局の構築に比べてコストを大幅に抑えられます。

反対に、不特定多数のユーザーがアクセスする場などでは、パブリック認証局を利用して、Webサイトやサービスの安全性・信頼性が高いことを示すようにしましょう。インターネットを介した電子取引やWebサイトなどには、安全性の確保が必要不可欠です。安全性や信頼性を高く維持することは、将来的に自社や自身の大きなメリットにもつながってくるため、必ず構築しておきましょう。一からプライベート認証局を構築するのが困難な場合は、OpenXPKIやACMといったソフトウェアを利用するのも一つの方法です。

あわせて読みたい
認証局とは? 電子署名用の電子証明書を取得する流れと手数料 電子契約には立会人型と当事者型の2種類があります。立会人型とは、メールやシステムログを利用して本人であることを担保する仕組みです。一方、当事者型とは第三者機関...

 

電子契約を始めるなら今がチャンス!

 

 

ただいまGMOサインでは基本料金&送信料が2カ月間無料で利用できる超おトクなキャンペーンを実施中です。

ユーザー数や送信数などといった機能制限なし!しかも“2カ月間無料”でお試しいただけるチャンスですので、この機会にぜひお申込みください。また、無料期間中も解約することができます。 無料期間中に解約をした場合、料金は発生しませんのでご安心ください。

 

\ まずは無料トライアル /

 

 

電子契約サービスの導入を検討中の方必見!

 

電子契約サービスごとの違いや選び方などについて、下記の記事でわかりやすく比較しています。ぜひご参考にしてください。また、各社のサービスをまとめた比較表を“無料”でダウンロードできます

“無料” で使える電子契約サービスをまとめました! /

\ 各社サービスを一覧でチェック! /

 

 

電子契約サービスを導入するなら「GMOサイン」が断然おすすめ!

GMOサインは、導⼊企業数No.1 ※ の電子契約サービスで、300万社以上の事業者にご利用いただいております。また、自治体などにおいても広く導入されています。同⽔準の他社サービスと比較をしても、使用料がとてもリーズナブルなのが特徴です。さらに、無料で試せる「お試しフリープラン」もあるので手軽に利用できます。各種機能も充実しているため、使い勝手も抜群です。ぜひ一度お試しください。

※ 導入企業数は「GMOサイン(OEM商材含む)」を利用した事業者数(企業または個人)。1事業者内のユーザーが複数利用している場合は1カウントする。内、契約社数「100万社」(複数アカウントをご利用の場合、重複は排除)

 

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

GMOサインが運営する公式ブログ「GMOサインブログ」の編集部です。
電子署名/電子サイン/電子印鑑(デジタルハンコ)/脱印鑑(脱ハンコ)/電子文書/電子証明書/電子帳簿保存法など、電子契約にまつわる様々なお役立ち情報をお届けします。

電子サイン・電子契約・電子署名のことなら「電子印鑑GMOサイン」
目次