情報処理安全確保支援士(情報セキュリティスペシャリスト) - SE娘の剣 -

情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。

5.3 電子証明書

企業の社会的責任のCSR(corporate social responsibility)ではなく、証明書のCSRについてである。
CSR(Certificate Signing Request)はスペルから分かるように、証明書の署名要求である。
実際には証明書を発行してもらうのだが、証明書の内容は自分で決めるため、単に「署名してください」とお願いしているだけとも考えられる。だから、署名要求(Signing Request)なのである。

過去問(H25AP秋午後問8)にこれらに関する問題があるので紹介する
〔WebサイトでHTTPSを使用するための準備〕
 HTTPSを使って通信するためには,「aを取得する必要がある。[  a  ]の申請には,識別名(Distinguished Name)が必要になる。識別名は,国コード,都道府県名,市区町村名,組織名,部署名,コモンネーム(SSL接続するサイトのFQDN)から構成される。A社では, SSL通信を行うWebサイトのURLを “https://.www.a.co.jp/member/"とし,識別名を表1のように決定した。

表1 A社の識別名
識別名を構成する項目  値
国コード(Country)   JP
都道府県名(State)  Tokyo
市区町村名(Locality)   Bunkyo-ku
組織名(Organizational Name)  A Japan K.K.
部署名(Organizational Unit)  User Support
コモンネーム(Common Name)  [   b   ]

 A社のWebサイト管理者は,識別名を決定し,コモンネームの重複がないことを確認した後,証明書署名要求(CSR : Certificate Signing Request)を生成し,認証局に申請することで[  a  ]を取得した。証明書署名要求には,識別名と[  c  ]が含まれており,認証局から取得した「aを機器に導入する際には,[  c  ]とペアを成す[  d  ]が必要になる。[  a  ]と[  d  ]を機器に導入し,HTTPSでのアクセスが可能になるよう設定した。

正解は、以下である。
a SSLサーバ証明書
b www.a.co.jp
c 公開鍵
d 秘密鍵

社員が社外から社内システムにリモートアクセスをする環境を作ります。そのため、SSL-VPN装置(リバースプロキシサーバ)を導入しました。
セキュリティを保つ観点から、証明書を使った認証をすることにしました。社員のPCと、SSL-VPN装置に、それぞれ2つの証明書を入れます。
その証明書はなんでしょうか。また、その目的は?

情報セキュリティスペシャリスト_pki


この環境にて、どんなセキュリティを保てばいいでしょうか。
SSL通信をしますから、暗号化通信はされています。冒頭にあるように、証明書を入れますから、認証の観点で考えます。

まず、クライアントの立場で考えましょう。
クライアントは、正規のサーバに接続したいと考えます。偽装されたオンラインバンキングに接続して、IDパスワードを盗まれるという事件があるように、情報漏えいをしないためです。
そのため、サーバのサーバ証明書を確認します。ですから、SSL-VPN装置には、サーバ証明書が必要です。
では、そのサーバ証明書が正しいかを確認する必要があります。
そのためには、CAのルート証明書が必要です。
よって、クライアントPCにはルート証明書が必要です。

次に、サーバの立場で考えましょう。サーバは、不正なPCを接続させたくありません。IDパスワード認証に加え、証明書での認証をするのです。そのとき、クライアントが正規のものかを確認するために、クライアント証明書を見せてもらいます。よって、クライアントにはクライアント証明書を入れます。SSL-VPN装置は、そのクライアントが正しいかをチェックする必要があります。そのために必要なのが、CAのルート証明書です。

【解答】
①サーバ
 サーバ証明書
 CAのルート証明書

②クライアントPC
 クライアント証明書
 CAのルート証明書

以下は、フィッシング対策協議会のサイトですが、右側に東京三菱UFJ銀行のフィッシングサイトの情報があります。
https://www.antiphishing.jp/news/alert/mufj_20150728.html

見ていただくとわかりますが、本物そっくりです。これを偽造と判断するのは難しいでしょう。
でも、このフィッシングサイトのURLは、「http://bk.mufg.jp.●●●●.uno/~」とあります。
つまり、HTTPなのです。本来の三菱東京UFJ銀行のURLは、httpsで始まり、証明書にEV SSL証明書を使っています。ですから、Webサイトの緑のバーを見れば、正規の銀行と分かるのです。
緑だから正規だとは100%言えるわけではありまえんが、この証明書を取得する審査のハードルが高いので、不正な第三者が取得することは難しいのです。

スポンサードリンク

↑このページのトップヘ