対象試験と出題頻度
PKI(公開鍵基盤)は、ITパスポート・情報セキュリティマネジメント・基本情報技術者・応用情報技術者の全試験で頻出するセキュリティ用語です。
頻出度は最高ランクの「S(絶対に覚える必要あり)」。暗号化やデジタル署名、HTTPS通信など、多くの分野と関連する超重要トピックです。
詳細をクリックして確認
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★★★
ランクS(絶対に覚える必要あり)
用語の定義
PKI(Public Key Infrastructure:公開鍵基盤)とは、一言で言うと「公開鍵暗号方式を安全に運用するための仕組み全体」のことです。具体的には、認証局(CA)がデジタル証明書を発行し、公開鍵が本物であることを保証する仕組みを指します。
イメージとしては、「パスポートの発行機関(政府)と、パスポートそのもの」の関係に似ています。
海外旅行で自分が本人であることを証明するには、信頼できる機関(政府)が発行したパスポートを見せます。PKIでは、信頼できる機関(認証局)が発行したデジタル証明書によって、「この公開鍵は確かにこの人・この組織のものです」と証明します。
📊 PKIを構成する主な要素
| 構成要素 | 役割 |
|---|---|
| 認証局(CA) | デジタル証明書を発行・管理する信頼された機関 |
| デジタル証明書 | 公開鍵と所有者情報を紐づけ、CAが署名したもの |
| 登録局(RA) | 証明書発行の申請受付や本人確認を行う |
| リポジトリ | 発行された証明書やCRL(失効リスト)を公開・保管 |
解説
公開鍵暗号方式を勉強していると、「公開鍵って誰でも見られるなら、偽物の公開鍵を配布されたらどうするの?」という疑問を持つ人がいます。実はこれ、非常に重要なポイントです。
例えば、あなたがネットショッピングで「〇〇銀行」に接続しようとしたとき、攻撃者が偽のサイトを用意し、偽の公開鍵を渡してきたらどうなるでしょうか。あなたはその偽の公開鍵で暗号化した情報を送り、攻撃者はそれを復号して盗み見ることができてしまいます。
この「公開鍵のすり替え問題」を解決するのがPKIです。
💡 PKIの仕組み(公開鍵の正当性を保証する流れ)
①証明書の申請:Webサイト運営者などが、自分の公開鍵と身元情報を認証局(CA)に提出し、証明書の発行を申請します。
②本人確認・審査:CAは申請者の身元を確認し、正当な申請であることを審査します。
③証明書の発行:審査に通ると、CAは「この公開鍵はこの組織のものである」という情報にCAの秘密鍵で署名し、デジタル証明書として発行します。
④証明書の検証:ユーザーがWebサイトにアクセスすると、サーバーから証明書が送られてきます。ユーザーのブラウザは、CAの公開鍵を使って署名を検証し、証明書が本物であることを確認します。
認証局(CA)の階層構造
認証局は通常、階層構造になっています。最上位にある「ルート認証局(ルートCA)」は、自分自身の証明書(ルート証明書)に自分で署名します。その下に「中間認証局」があり、実際にサーバー証明書などを発行するのは中間CAであることが多いです。
ブラウザやOSには、あらかじめ信頼されたルート証明書がインストールされています。そのため、ルートCAを起点とする「信頼の連鎖(トラストチェーン)」が成立し、中間CAが発行した証明書も信頼できると判断されます。
証明書の失効(CRLとOCSP)
デジタル証明書には有効期限がありますが、秘密鍵の漏洩などが発覚した場合は、有効期限前でも証明書を失効(無効化)する必要があります。
- CRL(Certificate Revocation List:証明書失効リスト):失効した証明書の一覧をCAが公開し、定期的にダウンロードして確認する方式です。
- OCSP(Online Certificate Status Protocol):証明書の有効性をリアルタイムでCAに問い合わせて確認する方式です。CRLより即時性が高いです。
📌 PKIが使われている身近な例
①HTTPS通信:WebサイトのURLが「https://」で始まる場合、PKIによるサーバー証明書が使われています。ブラウザのアドレスバーに鍵マークが表示されるのは、証明書が有効であることを示しています。
②電子署名:契約書や公的書類の電子署名にもPKIが使われています。署名者の秘密鍵で署名し、証明書で公開鍵の正当性を保証します。
③メールの暗号化(S/MIME):メールを暗号化・署名する際にもデジタル証明書が使われます。
試験ではこう出る!
PKIは、暗号化・デジタル署名・HTTPS・認証局など、様々な分野と関連して出題されます。以下のキーワードとセットで確実に覚えましょう。
【重要キーワード】
- 公開鍵暗号方式を安全に運用するための基盤
- 認証局(CA)がデジタル証明書を発行
- 公開鍵と所有者を紐づけて正当性を保証
- ルートCA / 中間CA / 信頼の連鎖(トラストチェーン)
- CRL(証明書失効リスト)/ OCSP(オンライン証明書状態確認)
- HTTPS / 電子署名 / S/MIME
試験問題で「認証局がデジタル証明書を発行し、公開鍵の正当性を保証する」や「公開鍵暗号方式を安全に利用するための仕組み」といった記述があれば、それは「PKI(公開鍵基盤)」に関する記述です。
📊 PKI関連用語の整理(試験対策)
| 用語 | 説明 |
|---|---|
| PKI | 公開鍵暗号方式を安全に運用するための仕組み全体 |
| 認証局(CA) | デジタル証明書を発行・管理する信頼された機関 |
| デジタル証明書 | 公開鍵と所有者情報にCAが署名したもの |
| CRL | 失効した証明書の一覧(定期的にダウンロード) |
| OCSP | 証明書の有効性をリアルタイムで問い合わせる仕組み |
📝 IPA試験での出題ポイント
PKIの問題では、「認証局(CA)の役割」「デジタル証明書の内容」「証明書の検証方法」が頻出です。特に「CAはデジタル証明書を発行し、公開鍵と所有者の紐づけを保証する」という点が最重要です。また、「ルートCAと中間CAの階層構造」「CRLとOCSPの違い」も押さえておきましょう。試験ではここまででOK。深く理解したい人は、公開鍵暗号方式やデジタル署名の記事も併せて読むと理解が深まります。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. PKI(公開鍵基盤)に関する説明として、最も適切なものはどれでしょうか?
- A. 認証局(CA)がデジタル証明書を発行し、公開鍵と所有者の紐づけを保証することで、公開鍵暗号方式を安全に運用するための仕組み
- B. パスワードを使わずに、生体認証やセキュリティキーで安全にログインするための国際標準規格
- C. 1回の認証で複数のシステムやサービスにアクセスできるようにする仕組み
正解と解説を見る
正解:A
解説:
PKI(Public Key Infrastructure:公開鍵基盤)は、認証局(CA)がデジタル証明書を発行し、公開鍵と所有者の紐づけを保証することで、公開鍵暗号方式を安全に運用するための仕組みです。デジタル証明書には、公開鍵と所有者情報が含まれ、CAの秘密鍵で署名されています。これにより、ユーザーは「この公開鍵は本当にこの組織のものである」と信頼できます。HTTPS通信や電子署名など、幅広い場面で使われています。
選択肢Bは「FIDO(Fast Identity Online)」の説明です。選択肢Cは「シングルサインオン(SSO)」の説明であり、いずれもPKIとは異なる技術です。
