平成26年度 秋期 ITパスポート試験 公開問題 問55 解説 電子証明書

この問題は、PKI（公開鍵基盤）の役割と「電子証明書」が何のために存在するかという本質を理解しているかを問うものです。正解を導く鍵は、電子証明書が「本人と公開鍵の結びつき」を証明するものである、という1点に尽きます。

電子証明書の役割を理解する

インターネット上で公開鍵暗号方式を利用する場合、通信相手の公開鍵が本物であるかを確認しなければなりません。もし悪意のある第三者が、自分勝手な公開鍵を「田中さんの公開鍵です」と言って公開していたら、誰もがその偽の鍵を使って暗号化してしまい、情報が筒抜けになってしまいます。

これを防ぐのが認証局（CA）です。認証局は「この公開鍵は確かに田中さんのものです」という証明書を発行します。電子証明書には「誰の公開鍵か」という情報と「認証局のディジタル署名」が含まれています。受け取った側は、信頼できる認証局の公開鍵を使ってその署名を検証することで、「この公開鍵は偽造されていない＝確かに送信者のものだ」と確信できます。これが「なりすまし」を防ぐ根拠となります。

なぜ他の選択肢は誤りなのか

ア：改ざんの検知は、主にハッシュ値を用いたディジタル署名の検証によって、受信者側で行われます。認証局は証明書の発行や失効の管理が主な仕事であり、個別の通信内容を常時監視して改ざんを検知するシステムではありません。

イ：電子メールの送達記録（到達確認）は、電子証明書の機能ではありません。メールの送達確認機能はメールサーバーやアプリケーション側の機能です。

エ：認証局は、電子証明書を発行することで信頼を付与する役割ですが、発行した証明書を使って行われる個別の通信データ（メールの控えなど）を保持することはありません。もし保持していたら膨大なデータ量になり、プライバシーの問題も発生します。

PKIを学ぶことの意義

この知識は、単に試験のための暗記にとどまりません。私たちが普段利用しているWebブラウザでのHTTPS通信も、裏側ではこのPKIがフル活用されています。URLバーの横にある「鍵マーク」をクリックして表示される証明書情報こそが、この知識の現物です。

「誰が発行した証明書なのか」「有効期限は切れていないか」といった情報は、ITセキュリティの基礎中の基礎です。なりすましを防ぐという仕組みを理解しておくことで、フィッシングサイトの見極めや、安全なWebサービスの利用方法について、技術的な裏付けを持って判断できるようになります。

参考リンク

• 【ITパスポート】公開鍵暗号方式と電子証明書を図解でわかりやすく解説
• 【実演】オレオレ証明書を自分で作ってみよう！暗号通信の仕組みを体験
• 電子証明書 - 情報セキュリティ用語集 - IPA 独立行政法人 情報処理推進機構