対象試験と出題頻度
CA(認証局)・ルート認証局は、情報セキュリティマネジメント・ITパスポート・基本情報技術者・応用情報技術者の全試験で頻出するセキュリティ用語です。
頻出度は最高ランクの「S(絶対に覚える必要あり)」。PKI(公開鍵基盤)やデジタル証明書、HTTPS通信と密接に関連する超重要トピックです。
詳細をクリックして確認
情報セキュリティマネジメント
ITパスポート
基本情報技術者
応用情報技術者
★★★★★
ランクS(絶対に覚える必要あり)
用語の定義
CA(Certificate Authority:認証局)とは、一言で言うと「デジタル証明書を発行し、公開鍵と所有者の紐づけを保証する、信頼された第三者機関」のことです。
イメージとしては、「パスポートを発行する政府機関」のようなものです。
海外で「私は日本人の〇〇です」と証明したいとき、自己申告だけでは信用されません。政府が発行したパスポートがあるから信用されます。デジタルの世界でも同じで、「この公開鍵は〇〇会社のものです」と証明するには、信頼された認証局(CA)が発行したデジタル証明書が必要です。
📊 認証局の階層構造
| 認証局の種類 | 役割 |
|---|---|
| ルート認証局(ルートCA) | 階層の最上位。自分自身の証明書(ルート証明書)に自己署名する。信頼の起点。 |
| 中間認証局(中間CA) | ルートCAから証明書を発行され、実際にサーバー証明書などを発行する。 |
解説
「認証局って何をしているの?」「ルート認証局と中間認証局の違いは?」という疑問を持つ受験生は多いです。結論から言うと、認証局の最も重要な役割は「この公開鍵は本当にこの人・組織のものである」と証明することです。
公開鍵暗号方式では、誰でも公開鍵を配布できます。しかし、それだけでは「この公開鍵は本物か?偽物か?」が分かりません。攻撃者が偽の公開鍵を配布し、通信を傍受する「中間者攻撃」のリスクがあります。
そこで、信頼された第三者機関である認証局が「この公開鍵は確かにこの組織のものです」と証明書を発行します。この仕組みによって、公開鍵の正当性が保証されるわけです。
💡 認証局(CA)の主な役割
①証明書の発行:申請者の身元を確認し、公開鍵と所有者情報を含むデジタル証明書を発行します。証明書にはCAの秘密鍵で署名が付与されます。
②証明書の管理:発行した証明書の有効期限や状態を管理します。
③証明書の失効:秘密鍵の漏洩などが発覚した場合、証明書を失効(無効化)し、CRL(証明書失効リスト)やOCSPで公開します。
④信頼の起点となる:特にルートCAは、PKI全体の「信頼の起点」として機能します。
ルート認証局と中間認証局の違い
認証局は通常、階層構造になっています。この階層構造を理解することは試験対策として重要です。
ルート認証局(ルートCA)は、階層の最上位に位置します。ルートCAは自分自身の証明書(ルート証明書)に自分の秘密鍵で署名します(自己署名)。ルート証明書は、ブラウザやOSにあらかじめインストールされており、これが「信頼の起点」となります。
中間認証局(中間CA)は、ルートCAの下に位置し、ルートCAから証明書を発行されています。実際にWebサイトのサーバー証明書などを発行するのは、この中間CAであることが多いです。
なぜ階層構造にするのでしょうか?理由は「ルートCAの秘密鍵を守るため」です。ルートCAの秘密鍵が漏洩すると、PKI全体の信頼が崩壊します。そのため、ルートCAは厳重に管理され、日常的な証明書発行は中間CAが行います。万が一、中間CAの秘密鍵が漏洩しても、その中間CAの証明書を失効させれば、ルートCA自体は影響を受けません。
📊 信頼の連鎖(トラストチェーン)
| 階層 | 証明書 | 署名者 |
|---|---|---|
| 最上位 | ルート証明書 | ルートCA自身(自己署名) |
| 中間 | 中間CA証明書 | ルートCAが署名 |
| 末端 | サーバー証明書(エンドエンティティ証明書) | 中間CAが署名 |
ブラウザは、サーバー証明書を受け取ると、その証明書に署名した中間CAの証明書を確認し、さらにその中間CA証明書に署名したルートCAの証明書を確認します。ルート証明書がブラウザに信頼されていれば、この「信頼の連鎖(トラストチェーン)」が成立し、サーバー証明書も信頼できると判断されます。
⚠️ ルートCAが侵害されると何が起こる?
ルートCAの秘密鍵が漏洩すると、攻撃者は任意のサイトの偽の証明書を発行できてしまいます。その結果、ユーザーは偽サイトを本物と信じてアクセスし、個人情報やクレジットカード情報を盗まれる危険があります。
過去には、実際にCAが侵害された事件も発生しています。そのため、ルートCAは厳重なセキュリティ対策の下で運用され、秘密鍵はオフラインで管理されることが多いです。
試験ではこう出る!
CA(認証局)は、PKIやデジタル証明書に関する問題で必ず登場します。以下のキーワードとセットで確実に覚えましょう。
【重要キーワード】
- デジタル証明書を発行する信頼された第三者機関
- 公開鍵と所有者の紐づけを保証
- ルート認証局(ルートCA):階層の最上位、自己署名、信頼の起点
- 中間認証局(中間CA):実際に証明書を発行、ルートCAの秘密鍵を守る
- 信頼の連鎖(トラストチェーン)
- CRL(証明書失効リスト)/ OCSP
試験問題で「デジタル証明書を発行し、公開鍵の正当性を保証する機関」や「PKIにおいて信頼の起点となる」といった記述があれば、それは「認証局(CA)」に関する記述です。
📊 PKI関連の役割分担(試験対策)
| 用語 | 役割 |
|---|---|
| 認証局(CA) | デジタル証明書を発行・管理・失効する |
| 登録局(RA) | 証明書発行の申請受付や本人確認を行う |
| リポジトリ | 証明書やCRLを公開・保管する |
| CRL | 失効した証明書の一覧 |
📝 IPA試験での出題ポイント
認証局の問題では、「ルートCAと中間CAの違い」「信頼の連鎖(トラストチェーン)」「証明書の失効(CRL/OCSP)」が頻出です。
特に「ルートCAは自己署名で信頼の起点となる」「中間CAはルートCAの秘密鍵を守るために存在する」という点を押さえておきましょう。また、「CAは何を保証するか?」という問いには「公開鍵と所有者の紐づけ」と答えます。試験ではここまででOK。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. CA(認証局)およびルート認証局に関する説明として、最も適切なものはどれでしょうか?
- A. 共通鍵暗号方式において、通信相手と共通鍵を安全に交換するための仕組み
- B. デジタル証明書を発行して公開鍵と所有者の紐づけを保証する信頼された機関であり、ルートCAは階層の最上位で自己署名により信頼の起点となる
- C. パスワードを使わずに、生体認証やセキュリティキーでログインするための国際標準規格
正解と解説を見る
正解:B
解説:
CA(Certificate Authority:認証局)は、デジタル証明書を発行して公開鍵と所有者の紐づけを保証する、信頼された第三者機関です。認証局は階層構造になっており、最上位のルート認証局(ルートCA)は自分自身の証明書に自己署名し、PKI全体の「信頼の起点」となります。中間認証局(中間CA)はルートCAから証明書を発行され、実際にサーバー証明書などを発行します。この階層構造により、ルートCAの秘密鍵を厳重に保護しています。
選択肢Aは「鍵交換」に関する説明ですが、CAの役割ではありません。選択肢Cは「FIDO」の説明であり、認証局とは異なる技術です。
