セキュリティ用語集
証明書
| 用語の別名 | Certificate、Cert、デジタル証明書、ディジタル証明書、電子証明書 |
| ジャンル | [認証] |
| 内容 | 現実世界で使用されている許可証や会員証と同様に、本人であることの証明や本人の権限を確認するために使用され、X.509などの標準規格に従って生成された電子データを証明書と呼びます。現実世界の証明書と区別するために、デジタル証明書と呼ぶ場合もあります。通常は数キロバイトの小さなバイナリデータで発行されるため、USBメモリやICカードなどの小さなメディアにも格納でき、様々な認証システムで使用されています。 証明書の中にはユーザを特定するための識別情報をはじめ、権限情報、公開鍵、認証局による署名、その他システム固有の情報が含まれています。証明書は認証局から発行されるため、発行元である認証局の信頼性がそのまま証明書の信頼性につながります。つまり、全く関連のない組織から発行された許可証が自分の組織で効力を持たないのと同様に、信頼性のない認証局から発行された証明書は信頼に値しません。通常は、信頼できる認証局のルート証明書を事前にWebブラウザなどのソフトウェアに登録しておけば、そのソフトウェアが相手から証明書を受け取ったときに、その証明書が事前に登録された認証局から発行されているかどうかチェックしてくれます。ただ、このような仕組みを知らない一般ユーザも多く、せっかくソフトウェアが警告を促してもユーザがスキップしてしまう場合があり、正体不明のオレオレ証明書を掲げた偽サイトに気付かず誘導されてしまう可能性があります。証明書を使用したシステムを構築するときは、仕組みをきちんとユーザに説明してポイントをつかんでもらうか、あるいはユーザが仕組みを知らなくても済むような方法で運用することが必要です。 |
ネットワークセキュリティ関係者の部屋 > gLOSSARY > 証明書