PKI(public key infrastructure)は、認証機関が発行する公開鍵証明書を用いて、公開鍵暗号の鍵ペアとその持ち主を結び付けるとともに、鍵ペアの適切な管理を保証する仕組みである。金融分野におけるPKIの利用は、認証サービスの専業会社が発行した公開鍵証明書を、インターネット・バンキングにおける本人確認手段として活用することから始まった。
最近では、金融機関自身が認証機関となると同時に、業界内にルート認証機関を設ける高度な形態のPKIを構築し、企業間電子商取引等における電子認証のインフラとして活用しようとする動きが拡大している。また、証明書ポリシー(CP)・認証実施規程(CPS)の作成指針として、米国国内標準ANS X9.79-1が策定されるなど、金融機関が認証機関として情報セキュリティ対策を検討する際に活用できる制度的枠組みや各種標準等が整備されつつある。
しかし、現時点では、金融機関が参画して構築を進めているPKIにおいては、情報セキュリティ対策に関する情報が必ずしも十分には公表されておらず、認証機関の信頼性等を外部から評価することが困難な状況にあるように思われる。金融機関が認証機関としてPKIの運営に参画していくに当たっては、適切な情報セキュリティ対策を講じたうえで、利用者の信頼を向上させるために情報セキュリティ対策の開示等を行っていくことが重要であると考えられる。
本稿では、まずPKI関連技術の研究・標準化動向を紹介したうえで、金融機関が参画する主なPKIの構造や情報セキュリティ対策の概要について紹介する。次に、今後、金融機関が認証機関としてPKIの運営に参画していくうえでの課題を説明し、考えられる対応策について説明する。
キーワード:PKI、公開鍵暗号、証明書ポリシー、情報セキュリティ、デジタル署名、電子認証、認証機関、認証実施規程
掲載論文等の内容や意見は、執筆者個人に属し、日本銀行あるいは金融研究所の公式見解を示すものではありません。