外部PKIサービスを活用したSSL相互認証基盤の構築
(PDF文書,971KB)


1. 背景と目的
ダイキン工業株式会社(以下ダイキン)では、98年に協力会社とのインターネットを利用したEDIを導入するために新たな環境を構築した。これによりファイアウォールで守られたダイキンのネットワークに対し、DMZ(非武装地帯:外部インターネット向けWebサーバなどを設置)とイントラネット(社内ネットワーク)に加えて、"エクストラネットゾーン"が新たに加わった。
このエクストラネットと協力会社間との通信に対してセキュリティ (盗聴・改竄・なりすまし防止) を確保するためダイキンではVPN (Virtual Private Network)接続環境を自社にて構築・運用している。 空調機生産関連の協力会社を中心にEDI利用の拡大を推進する一方、99年より「販売店オンラインシステム」と呼ばれる"販売協力店向け空調機発注・在庫照会"および"サービス協力店・工務店向け修理部品発注・在庫照会・技術情報提供"を行うWebシステムを従来の生産EDIと同様に展開してきた。
その中で、以前のダイアルアップでのインターネット接続から安価な常時接続・ADSLなどが普及してきたことから、お客様(販売店様)に対しより簡易なセキュリティ実現手段を提供し、利用者の拡大を加速させることを目的に、2002年4月よりSSL(Secure Socket Layer)によるサーバ・クライアントの相互認証を使ったEDI利用環境を新たに構築し、本システムへ適用した。

2. システム概要
2.1 サーバ証明書
「ダイキンのサーバである」ということを利用者に対して証明するため、サーバ側の証明書については第三者機関に認証された証明書を使うことにした。具体的には世間一般的に広く利用されているベリサイン/セキュア・サーバIDを採用し、本システムのサーバ(IIS4.0)にインストールしている。

2.2 クライアント証明書
利用者のアクセス認証のためにクライアント証明書を用い、サーバ・クライアントの相互認証を行うことにした。Webページ上でのシステムログイン(ID/パスワード入力)による認証より、より強固なユーザー認証、アクセス制限が必要と判断したためである。利用者は同システムにアクセスした際にクライアント証明書をシステムに提示する。システム側では信頼された認証局から発行された証明書を持つユーザーからのアクセスを許可する。
"信頼する認証局"については、ダイキン側でユーザーの確認が出来ればよい(第三者機関の認証は不要)という考えに基づき、自社認証局構築についても検討したが、今回は外部PKIサービスを利用し、そこでのダイキン用認証局を利用する形態とした。

2.3 認証局の運用(発行・失効・更新など)
クライアント証明書の発行・失効についてついては、ダイキン社内より管理者が外部PKIサービスのダイキン用認証局へアクセスし、これらの処理を行う。証明書は1年間有効とし、初回発行時は証明書ファイルとインストールの際のパスワードを安全に渡すために郵送などで利用者に送付する。 利用開始から2年目以降の証明書更新については、クライアント証明書を使って確実な本人認証が出来ることから、利用者自身がインターネット上のサーバから各自の新しい証明書を取得出来る環境を提供している。

3. キーポイント
利用者の特定とクライアント証明書の設計について
販売店オンラインシステムの要件と利用者の従来からの操作性・利便性を損なわないことを考慮し、クライアント証明の設計を工夫した。
同システムでは利用者(販売店)毎に提供する情報、サービスを分けているため、認証の際にはシステム利用の可否だけでなく利用者を厳密に特定することが必須である。一方で利用者の特定の為にID/パスワードを入力させるような利便性の低下は避けたい。VPN利用時は、利用者とVPNクライアントのIPアドレスが1対1で対応していたため、この情報を使って利用者の特定を行っていた。そこで今回はクライアント証明書の設計(何の属性を記述し、その属性にどんな値を記述するか)においてシステム利用者を特定するためのユニークなIDを各証明書毎に記述し、システム側でこのIDをもとに利用者を特定するようにした。これにより同システムを利用するための準備は、これまでのVPNクラアイントソフトおよびVPNキーファイルをインストールする代わりに、ダイキンから送付されたクライアント証明書をブラウザにインストールするだけであり、その後のシステム利用時の操作方法は従来通りである。

4. 計画
1998年 エクストラネット環境を構築(VPN接続環境を自社にて導入)
空調生産向けにインターネットEDIを開始
1999年 協力店向け販売店オンラインシステムを開始
2001年 10月 VPNからSSLへの移行検討を開始
2001年 11月 スターネット殿のPKIサービス利用を決定
2001年 12月 クライアント証明書設計・システム修正要件検討開始
2002年 4月 セキュリティ方式をVPNからSSLへ切替え
2002年 7月 タイの生産子会社での生産協力店向けインターネットEDIにSSLクライアント認証を適用

5. 評価
今回の構築によって以下のメリットが得られた。
@ 当初目的の販売店オンラインシステムユーザーの拡大
A 新規Web-EDIシステムの短期立上げにおけるSSL相互認証の適用
B 当社エクストラネット利用におけるセキュアな接続環境の選択肢拡大
SSLへの切替え直前時に62社(139ユーザー)であった利用者は、切替え後2ヶ月で利用者は一気に74社(250ユーザー)に達した。また03年7月にはタイにある当社の空調機生産子会社での生産協力店向けインターネットEDIを導入するにあたり、今回のSSLサーバ・クライアント認証環境構築のノウハウを活かし、短期間で同システムを立ち上げることが出来た。今後は既存・新規のエクストラネット利用システムに対して、システム構成や要求されるセキュリティレベルなどを考慮しVPN、SSL(サーバ認証のみ)、SSL(サーバ・クライアント認証)などから適切なものを選択していく。 また、将来的には今回培った認証局、クライアント証明書などの運用ノウハウを活かし、PKIを利用した社内セキュリティ基盤構築(自社認証局構築・運用や既存社内LDAP(ディレクトリ)サーバとの連携)の足がかりとしたい。