PKI および政府のデジタル証明書

の概要 PKI 情報通信技術(ICT)当局および政府認可CAのアプリケーションとオプション。

関連コンテンツ

学び続けたいですか?

SSL.com のニュースレターを購読して、最新情報を入手し、安全を確保してください。

政府と PKI テクノロジー

ますます、世界中の政府が積極的に公開鍵インフラストラクチャー(PKI)および以下の目的のためのデジタル証明書:

  • 国民IDプログラム。
  • ワークステーションおよびソフトウェアアプリケーション用のシングルサインオン(SSO)。
  • 署名および暗号化された政府の電子メール。
  • デジタル署名によるドキュメントの認証。
  • 納税などのオンラインサービスのための市民のIDの認証。

国立デジタルIDプログラムは、世界的に進行中の作業です。 によると 2016年世界銀行レポート、「ほとんどの発展途上国は、特定の機能に関連付けられ、人口のサブセットにサービスを提供する何らかの形のデジタルIDスキームを持っていますが、人口全体をカバーする多目的スキームを持っている国はごくわずかです。」 同じレポートによると、デジタルIDを採用する理由は国によって異なります。「高所得国では、デジタルIDは、過去にかなりうまく機能していた、確立された堅牢なレガシー物理IDシステムからのアップグレードを表しています。」低所得国は…多くの場合、堅牢な市民登録システムと物理IDを欠いており、デジタルベースでIDシステムを構築しており、従来の物理ベースのシステムを飛び越えています。」 どちらの場合も、世界的な傾向は、新しい全国デジタルIDシステムの作成または既存のシステムの拡張に向かっていることは明らかです。

世界中の多くの中のほんの一部の例:

  • エストニアの e-identityプログラム すべての市民に、デジタル署名、投票、その他の政府サービスに使用できる州発行のデジタルIDを提供します(その99%は オンラインで利用可能)。 エストニア国民は、エストニアの98%に発行されたスマートIDカード、およびスマートフォンやその他のモバイルデバイスを介してこれらのサービスにアクセスできます。
  • この アラブ首長国連邦(UAE) 現在発行中 スマートIDカード すべての市民に。 これらのカードの電子チップには、生体認証指紋データとともに、身元認証およびデジタル署名用のデジタル証明書が含まれています。 このIDカードは、UAE市民が スマート政府サービスの大部分 その国で。

多くの場合、このようなイニシアチブには、国家基準の策定と実施を任務とする機関を設立する法律が含まれています 公開鍵インフラストラクチャ(PKI)、ローカルライセンス 認証局(CA) デジタル証明書の提供、および/または政府運営の開発 PKI およびCA。 これらの機関には一般的にタイトルが与えられます 情報通信技術局 (または ICT機関)。 この記事は、各国のICT当局および認可されたCAの意思決定者に、次のような重要な質問に答えるために必要な情報を提供することを目的としています。

  • 自社開発すべきか PKI、または既存のCAのサービスを契約しますか?
  • 公的に信頼された証明書を市民に提供するための最速かつ最も効率的なルートは何ですか?

PKI、デジタル証明書、およびCA:クイックレビュー

一言で言えば、 公開鍵インフラストラクチャ(PKI) ペアの管理に使用されます 公開鍵と秘密鍵 と呼ばれる電子文書の発行を通じて、個人や組織などのエンティティのアイデンティティにそれらをバインドします デジタル証明書背後にある数学 PKI 証明書が 署名されました 特定のエンティティの秘密鍵を使用すると、ペアの公開鍵を持つ誰もが次のことができます。

  • 署名された証明書を提示するエンティティが対応する秘密鍵を所有していることを確認します (信憑性).
  • 証明書の内容が最初に生成されてから変更されていないことを信頼する (完全性).
  • 公開鍵を使用して、関連する秘密鍵でのみ復号化できるメッセージを暗号化する (暗号化).

信頼性、整合性、および暗号化を有効にすることにより、 PKI デジタル証明書により、インターネットなどの安全でないネットワークを介した安全な通信が可能になります。 を維持する組織 PKI デジタル証明書の発行と失効を管理します。 認証局(CA).

SSL.comは多種多様な SSL /TLS サーバー証明書 HTTPSWebサイトの場合。

SSLの比較/TLS CERTIFICATES

パブリックトラストとプライベートトラスト

デジタル証明書には多くのアプリケーションがありますが、最もよく知られている用途は、SSL /を介して可能になる安全なWebブラウジングです。TLS およびHTTPSプロトコル。 ブラウザの警告やエラーメッセージを防ぐために、公開Webサイト用に発行されたデジタル証明書は、 公的に信頼されたCA。 証明書を電子メールクライアント、デスクトップオペレーティングシステム、およびエンドユーザー向けのその他のソフトウェアで使用する場合も、パブリックトラストが望ましいため、ユーザーまたはITスタッフは、手動でOS証明書ストアに信頼できる証明書を追加する必要がありません。

公的に信頼されているCAは、次のような業界標準に準拠しているかどうか、定期的かつ厳密に監査されます。 CA向けWebTrust、Microsoft、Apple、Google、Mozillaなどの主要なオペレーティングシステムおよびソフトウェアサプライヤのパブリックトラストストアに含まれるため。 CAがこれらすべてのプログラムに含まれるようになるまでには何年もかかる可能性があり、そのステータスを維持するために定期的かつ厳格な監査を受ける必要があります。 対照的に、個人的に信頼されているCAはこれらの標準の対象ではありませんが、公開アプリケーションにはそれほど役立ちません。

なぜ政府はに向かって動くべきなのか PKIベースのサイバーセキュリティ?

過去数年間の政府の公的記録と取引のデジタル化の進展は、サイバー犯罪者の詮索好きな目を刺激しました。 政府は巨額の公的資金の管理者であり、サイバー犯罪者はこれらの金銭的報酬を手に入れることができるさまざまな方法を試し続けることに固執していることが示されています。 州はまた、ハッキングに成功すると、ランサムウェアや恐喝の戦術に使用されてきた膨大な量の機密情報を保持しています。  

からの記事 セキュリティマガジン2018年の推定45万件のサイバー攻撃は、地方自治体がランサムウェアやその他の悪意のある事件に対処するのに苦労したため、世界中でXNUMX億ドル以上の損失をもたらしました。」 

2018年は、米国がサイバー攻撃による最大の経済的損失を被った国となり、その数は13.7億ドルを超えました。 

おそらく、州がサイバーセキュリティを継続的に改善する必要がある主な理由のXNUMXつは、これらの公的機関に福祉を委託している市民から多くの個人情報を収集していることです。

注目すべき政府のサイバー攻撃

この最初の例は、悪意のある攻撃ではなく、セキュリティ研究者のChris Vickeryが2015年に行ったホワイトハットハッキングです。彼は、全国の191億XNUMX万人の有権者の個人情報をインターネット上のほぼすべての人に公開する、誤って構成されたデータベースを発見しました。 これらの保護されていない情報には、投票者の名前、生年月日、住所、電話番号などがあります。 だった警察官 インタビュー このリークに関して、犯罪者が彼に関する情報にアクセスできたため、彼の安全に対する懸念が表明されました。 

2019年のSolarWinds攻撃は、米国政府に対して行われた最も憂慮すべきインターネットベースのスパイ行為であると考えられており、何千もの政府ネットワークをサイバー攻撃に対して脆弱なままにしました。 27人の米国検察官の電子メールアカウントがハッキングされ、政府の調査と情報提供者に関する機密情報が危険にさらされた可能性があります。 商務省と財務省の職員の電子メールアカウントも侵害されました。 

アラスカ保健サービス局(DHSS)は、電話番号、社会保障番号、財務情報。 このような機密情報が盗まれる危険性の2021つは、ハッカーがこれらを使用して、銀行に電話をかけたり、銀行の従業員をだまして被害者の銀行口座に変更を加えたりするなどのソーシャルエンジニアリング戦術を採用する可能性があることです。 

ニューハンプシャー州のピーターバラの町の役人は、昨年2.3月に、ビジネス電子メール侵害(BEC)と呼ばれる戦略を使用したソーシャルエンジニアリングハッカーの犠牲になりました。 町の財務部門に所属する職員には、公共サービスの支払いを別の銀行口座に転送するように指示する偽装メールが送信されました。 この詐欺の戦術は、XNUMXか月にXNUMX回成功裏に実行され、合計XNUMX万ドルがサイバー泥棒に盗まれました。

政府・公共機関 PKI 開発:内部vsホスト

政府がそれを必要とすると決定したら PKI 市民に証明書を発行する(または地元企業が政府に代わって証明書を提供するためのライセンスを求める)ために、一般的な最初の考えは、独立したインフラストラクチャの開発に投資することです。 結局のところ、自己署名CAを実装するためのソフトウェアは、Windows Server、OpenSSL、EJBCAなどのソフトウェアを介して低コストまたは無料で入手できます。 ただし、一見すると、このオプションには、取引を破る可能性のある複数の課題と克服すべきコストがあります。

  • デスクトップオペレーティングシステムや、Webブラウザー、電子メールクライアント、オフィススイートなどのソフトウェアをシームレスに使用するための公衆の信頼を得ることは、通常、長くて困難なプロセスであり、このステータスの成功と維持の保証は保証されません。
  • 安全かつ効果的に運用するための資格のあるスタッフを見つけて雇用するコスト PKI 全国規模でかなりです。
  • 国の設立と維持に関連するハードウェアとネットワークのコスト PKI 最初の予想よりも大きい場合があります。 さらに、スケーリングの試み PKI (たとえば、より多くの市民を対象とし、追加の重要な政府サービスを可能にするために)時間の経過とともに追加の専門知識とインフラストラクチャが必要になる可能性があります。

デジタル技術とそれに関連するセキュリティニーズが政府のプロセスとより密接に絡み合うようになると、より多くの政府機関と市民がデジタル証明書を最大限に活用し、ハードウェア、ネットワーキング、および人件費がすべて増大すると予想されます。 これらの拡大するコストは、使用の制限要因になる可能性があります PKI 国とその市民に奉仕するその最大限の可能性に。

ホステッドの利点 PKI

を含むいくつかの商用パブリックCA SSL.com、現在、パブリックおよびプライベートに信頼されてホストされているオファー PKI サービスとして提供し、政府とそのライセンシーが上記で詳述した問題の多くを回避する可能性を提供します。 さらに、これらのCAが保持するセキュリティと信頼性の業界標準は通常、 すでに準拠しています PKI 国家ICT当局によって発行された基準とガイドライン。 ホスト型を選択することにより PKI 評判の良い公的CAを使用すると、政府は次のことを期待できます。

  • 証明書の発行、ライフサイクルの保守、有効期限、および証明書の有効期限が迫っているという自動通知のための効果的なシステムがすでに導入されています。
  • A PKI すでに世界規模で成功を収めています。
  • 国のICT当局によって設定された基準を満たすかそれを超える、頻繁で詳細な監査の対象であり、進化する業界の基準とベストプラクティスに遅れないようにする必要があるCA。

ほとんどの場合、特に開発途上国では、ホスト型ソリューションは、自社開発の開発よりも安価で、実装が簡単で、安全であることがわかります。 PKI.

ホステッド PKI SSL.comから

世界中の政府機関のお客様にとって、 SSL.com 次の世界クラスのメリットを提供します。

  • カスタムソリューション: SSL.comは、世界中の政府やライセンシーと協力して、スマートIDカードやその他のアプリケーションの証明書の生成、インストール、ライフサイクルを最適化します。
  • ブランド下位CA: ホストされている 下位CA (別名 CAの発行)SSL.comから、独自のルートCAを確立するコストの何分のXNUMXかで、公的または私的に信頼された証明書の発行と管理を完全に制御できます。 PKI インフラ。 たとえば、政府に代わって証明書を発行することを許可されたローカルCAは、すぐに達成できます。 公共の信頼, 企業コンプライアンス, ブランド化されたデジタル証明書.
  • 管理ツール: SSL.comのオンライン管理ツールを使用すると、ユーザーは大量の証明書を簡単に発行し、ライフサイクルを管理できます。
  • API:管理者はSSL.comを使用して証明書の発行とライフサイクルを簡単に自動化できます SSL Webサービス(SWS)API.

政府機関が直面するサイバーセキュリティの脅威と戦うのに役立つSSL.comが提供する特定のサービスは何ですか?

SSL証明書

当社のSSL証明書は、自宅の住所、ユーザー名とパスワード、社会保障番号、財務情報など、公開ユーザーがアップロードした個人情報や機密情報を暗号化することで、政府のWebサイトを保護できます。 と呼ばれる業界標準の公開鍵暗号化を使用します ハッカーによる侵害が非常に難しい2048+ビットSHA2。 また、官公庁での使用に非常に実用的なワイルドカードSSL証明書も提供しています。 ワイルドカードSSLを使用すると、政府機関はXNUMXつの証明書でメインのWebサイトとブランチのWebサイト/サブドメインを保護できます。 政府機関の下に複数の支局があり、包括的な保護を備えていることを考慮すると PKI 証明書は、攻撃者がバックドア攻撃を実行できる可能性を大幅に減らします。 クリック (茶事の話はこちらをチェック) ワイルドカードを含む、当社が提供する複数のタイプのSSL証明書から選択します。  

安全な/多目的インターネットメール拡張機能(S/MIME)

前のセクションで説明したように、電子メールは、政府機関から巨額の金銭や機密データを盗む際にサイバー犯罪者が使用する主要な戦略です。 これはどこです S/MIME 政府の電子メールシステムとトランザクションを保護するための強力な防御ツールとして登場します。 使用する PKI 非対称暗号化、 S/MIME SSL.comからの証明書により、政府機関は従業員と職員の間で電子メールの信頼性を確保できます。 XNUMXつ以上の政府部門または局が通信している場合、 S/MIME 証明書は、電子メールが実際に本物のソースから送信されていること、および電子メールメッセージが暗号化されているため転送中に保護されていることも保証します。 さらに、 S/MIME また、政府職員や公務員がハッカーにだまされたり、不注意に行動したりすることを強力に阻止します。これは、受信メールを最初に評価して、メールの送信元のIDが正当であることを証明する暗号化キーで暗号化されているかどうかを確認するシステムを作成するためです。 。 したがって、詐欺メールが本物のソースから送信されたように見えるようにソーシャルエンジニアリングされているかどうかに関係なく、 S/MIME 証明書は、技術に精通していない従業員でさえ、それを楽しまないように即座に警告します。 に移動 このページ どれを見るか S/MIME SSL.comからの証明書はあなたのニーズに最適です。

eSignerクラウド署名

政府機関は多くの文書を扱っています。 偽の信頼できる文書を送信することは、ハッカーが政府機関から機密情報、金銭、およびユーザーデータを盗むために使用するXNUMXつの戦術です。 使用する PKI 暗号化とクラウドテクノロジーであるSSL.comのeSignerExpress Webアプリケーションを使用すると、官公庁はインターネットに接続されたデバイスからドキュメントに安全に署名して認証できます。 この機能は、多くのオフィスが従業員のためにある程度のリモートワークを実装しているこのCovid-19パンデミックの際に特に便利です。 クラウドテクノロジーは、ハードウェアにバインドされたストレージ機器よりもはるかに安価であることが証明されています。 eSignerはソフトウェアベースのストレージシステムであるため、火災、地震、洪水などの災害や物理的な強盗から事実上不浸透性の保護も提供します。

SSL.com ホスティング、ブランド化、公的または私的信頼に必要なすべてのツールを備えています PKI ほとんどの国のICT当局やその他のIT規制機関のガイドラインを満たしています。 詳細について、または特定のニーズをお知らせいただくため、または国のガイドラインに準拠するための能力を私たちのスタッフにレビューおよび確認させるために私たちに連絡したい場合は、Eメールでご連絡ください。 Sales@SSL.com or Support@SSL.com電話する + 1-SSL-SECURE、またはこのページの右下にあるチャットリンクをクリックしてください。

常に最新情報を入手して安全を確保

SSL.com サイバーセキュリティの世界的リーダーであり、 PKI そしてデジタル証明書。サインアップして、最新の業界ニュース、ヒント、製品のお知らせを受け取ります。 SSL.com.

フィードバックをお待ちしております

アンケートにご協力いただき、最近のご購入についてのご意見をお聞かせください。