平成30年度 秋期 ITパスポート試験 公開問題 問62 解説 電子証明書の秘密鍵漏えい

秘密鍵の漏えいは、デジタル社会における最大級のセキュリティ事故です。この問題を解くためのポイントは、秘密鍵が漏えいした瞬間にその証明書は「信頼できないもの」と見なされるという点です。したがって、直ちに使用を停止させ、周囲にもその旨を伝えるための手続きが正解となります。

鍵ペアと電子証明書の仕組み

公開鍵暗号方式では、公開鍵と秘密鍵というペアの鍵を使います。公開鍵は誰にでも教えて良い鍵ですが、秘密鍵は本人だけが厳重に管理しなければならないものです。

電子証明書は、信頼できる第三者機関である認証局が「この公開鍵は確かに本人のものですよ」と証明するデジタルデータです。もしこの証明書に対応する秘密鍵が第三者に漏えいしてしまうと、その第三者は本人になりすまして電子署名を行ったり、暗号化された通信を解読したりすることが可能になります。

一度信頼が失墜した鍵ペアを使い続けることは極めて危険であり、漏えいしたという事実が判明した時点で、その証明書は価値を失います。

失効の手続き

秘密鍵が漏えいした場合、電子証明書を管理している認証局に対して直ちに「失効申請」を行う必要があります。認証局は申請を受けると、その証明書を失効リスト（CRL：Certificate Revocation List）に登録します。

このリストが公開されることで、その証明書を利用するシステムやWebサイトは「この証明書はもう無効である」と判断し、不正なアクセスやなりすましを防止できるようになります。この一連の流れは、クレジットカードを紛失した際にカード会社に連絡して利用停止にする手順と全く同じ考え方です。

試験における出題パターン

この問題は、情報セキュリティマネジメントの観点から頻出です。特に「秘密鍵が漏えいした際、最初に行うべきことは何か」といった文脈で問われます。

選択肢にある「再発行」や「そのまま使用」といった対応は、状況を悪化させるか無意味なものとして扱われます。特に、単に新しい鍵を作れば良いわけではなく、既存の危殆化した証明書を「確実に無効にする」ことが最優先事項である点を押さえておきましょう。現場の運用管理においても、鍵のライフサイクル管理（生成、配布、利用、廃棄・失効）は重要なテーマとなります。

• 総務省 国民のための情報セキュリティサイト（公開鍵暗号の仕組み）