情報処理安全確保支援士 平成31年春 問2
第2問
PKIを構成するOCSPを利用する目的はどれか。
ア 誤って破棄してしまった秘密鍵の再発行処理の進捗状況を問い合わせる。
イ デジタル証書から生成した鍵情報の交換がOCSPクライアントとOCSPレスポンダの間で失敗した際、認証状態を確認する。
ウ デジタル証明書の失効情報を問い合わせる。
エ 有効期限の切れたデジタル証明書の更新処理の進捗状況を確認する。
回答
【正解】
ウ デジタル証明書の失効情報を問い合わせる。
【解説】
では、なぜこれが正解なのか、そして「PKI」や「OCSP」とは一体何なのかを、順を追って見ていきましょう。
1. 「デジタル証明書」とは? ~インターネット上の身分証明書~
インターネットでウェブサイトを見たり、オンラインショッピングをしたりするとき、そのサイトが本当に「本物」で「安全」なのか気になりますよね。
それを証明してくれるのが 「デジタル証明書」 です。
これは、現実世界でいう 「運転免許証」や「パスポート」のような身分証明書 だと考えてください。
| 現実世界 | インターネットの世界 | |
|---|---|---|
| 証明書の種類 | 運転免許証 | デジタル証明書 |
| 書かれている内容 | 氏名・住所 | サイトの運営者情報 |
| 発行者 | 公安委員会 | 認証局(CA) という信頼できる第三者機関 |
これらを管理・発行する仕組み全体のことを PKI といいます。
2. 「証明書の失効」とは? ~身分証明書をなくした場合~
もし、あなたが運転免許証を紛失したり、盗まれたりしたらどうしますか?
すぐに警察に届け出て、その免許証を 「無効(失効)」 にしてもらいます。
そうしないと、悪用されてしまうかもしれません。
デジタル証明書も同じです。
例えば、サイト運営者の情報が漏洩してしまったり、証明書が不正にコピーされたりした場合、有効期限がまだ残っていても、その証明書を 「失効」させて無効にする 必要があります。
3. 「OCSP」の役割とは? ~リアルタイムで有効か確認する窓口~
さて、ここからが本題のOCSP (Online Certificate Status Protocol) です。
あなたがお店でクレジットカードを使ったとき、店員さんはそのカードが有効かどうかを専用の端末で問い合わせますよね。
OCSPは、まさにその役割をインターネット上で行う仕組みです。
ウェブサイトにアクセスしたあなたのブラウザ(ChromeやSafariなど)は、 「このサイトが提示しているデジタル証明書(身分証明書)は、今この瞬間、本当に有効ですか?失効していませんか?」 と、リアルタイムで確認しにいきます。
この問い合わせの「やり方(通信ルール)」と、問い合わせに答えてくれる「専門の窓口」、これがOCSPの正体です。
昔の方法(CRL)との違い
昔は、 CRL(証明書失効リスト) という方法が主流でした。
これは「失効した証明書の全リスト」が載った、いわば「指名手配犯リスト」のようなものです。
しかし、この方法には欠点がありました。
- リストが巨大になる:失効した証明書が増えるほど、リストがどんどん分厚くなる。
- タイムラグがある:リストは更新頻度が決まっているので、更新直後に失効した証明書は次の更新までリストに載らない。
そこで登場したのがOCSPです。 OCSPは、「この証明書番号、失効してませんか?」とピンポイントで問い合わせるので、通信も軽く、リアルタイムで確認できるというメリットがあります。
4. この仕組みはどのように動いて、誰が管理しているの?
OCSPが動く流れを、登場人物に例えて見てみましょう。
あなた(のブラウザ):買い物客
ウェブサイト:お店
認証局(CA):身分証明書(デジタル証明書)を発行した市役所のような信頼できる機関
OCSPレスポンダ:認証局が運営する「失効確認の専門窓口」
【処理の流れ】
- アクセス:あなた(のブラウザ)が、お店(ウェブサイト)に入ります。
- 証明書の提示:お店(ウェブサイト)は「うちは安全な店ですよ」と、デジタル証明書を提示します。
- 問い合わせ:あなた(のブラウザ)は、その証明書に書かれている「確認窓口(OCSPレスポンダ)」に問い合わせます。「この証明書、今も有効ですか?」
- 応答:OCSPレスポンダはすぐに「有効です」「失効しています」のどちらかを返事します。
- 判断:
「有効です」 → ブラウザは安心してページを表示します(アドレスバーに鍵マークがつきます)。
「失効しています」 → ブラウザは「このサイトは危険です!」と警告画面を表示します。
このように、OCSPはデジタル証明書を発行した「認証局(CA)」が管理・運営しており、私たちが安全にインターネットを利用するための重要な裏方として動いています。
5. この仕組みを具体的に確認する方法
普段は意識することのないOCSPですが、お使いのブラウザでその存在を確認することができます。
ここではGoogle Chromeでの確認方法をご紹介します。
安全なウェブサイト(例: https://www.google.co.jp )にアクセスします。
アドレスバーの左側にある鍵のマークをクリックします。
表示されたメニューから 「この接続は保護されています」をクリックし、次に「証明書は有効です」 をクリックします。
証明書の詳細が表示されたウィンドウが開きます。 「詳細」 タブをクリックします。
項目の一覧を下にスクロールしていくと、 拡張機能 という項目が見つかります。
その中に 認証局のアクセス情報 という記述があり、その下にhttp://から始まるURLが記載されています。
これが、あなたのブラウザが「この証明書は有効ですか?」と問い合わせるための、 OCSPレスポンダのURL(住所) です。
まとめと選択肢の再確認
PKI:安全な通信に必要な「デジタル証明書」や「認証局」などを含む、全体の仕組みのこと。
OCSP:そのPKIの一部で、デジタル証明書が失効していないかをリアルタイムで確認するための仕組み。
これを踏まえて、もう一度選択肢を見てみましょう。
ア 誤って破棄してしまった秘密鍵の再発行処理の進捗状況を問い合わせる。
→ これは認証局への「再申請」の話。OCSPの役割ではありません。
イ デジタル証書から生成した鍵情報の交換がOCSPクライアントとOCSPレスポンダの間で失敗した際、認証状態を確認する。
→ 少し難しいですが、これは通信そのもののトラブルの話。OCSPの目的ではありません。
ウ デジタル証明書の失効情報を問い合わせる。
→ これこそがOCSPのど真ん中の目的です。
エ 有効期限の切れたデジタル証明書の更新処理の進捗状況を確認する。
→ これも認証局への「更新申請」の話。OCSPの役割ではありません。
以上が、OCSPの目的と仕組みについての解説です。少しでも理解の助けになれば幸いです。
※この回答はAIを利用して作成しています。
内容に不備がないかは確認していますが、もし問題があった場合は指摘いただけますと幸いです。
Discussion