2005年01月17日(月) << 前の日記 | 次の日記 >>
これまでの01月17日 編集

■3「安全な通信を行うための証明書」の利用規程[セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

今回、各県のLGPKI Application CAに関する扱いを調べてみて確信したが、ルート証明書を組み込むということを余りにも安易に考えているし、またその結果を利用者に転嫁している感がある。
各県で「安全な通信を行うための証明書」の利用規程を掲げているが、これには判で押した様に

○禁止事項
安全な通信を行うための証明書の入手と設定に当たっては、次に掲げる行為を禁止します。
・本証明書を、証明書ポリシー(CP)に定められている目的以外に使用すること。
○免責事項
・××は、利用者が安全な通信を行うための証明書の入手と設定を行ったことにより発生した利用者の損害及び利用者が第三者に与えた損害について、一切の責任を負いません。

等と書かれている。

証明書ポリシーに定められている目的とは 地方公共団体組織認証基盤・アプリケーション証明書証明書ポリシー(CP)[http://www.lgpki.jp/unei/C-6-2-3_CP_Ap_20041125.pdf] によれば、

1.3.2 適用性・適用環境など
  アプリケーション証明書は、以下の用途及びアプリケーションでの使用を前提とする。
    ・Web サーバ証明書
      地方公共団体で運営されるWeb サーバ等の各種サーバに適用し、住民・企業等に
      対するホームページによる広報及び申請業務等や地方公共団体内の業務システム
      等で使用する。また、地方公共団体組織認証基盤として運用される各種サーバに適
      用する。Web サーバ証明書の有効期間は、証明書を有効とする日から起算して3
      年とする。

を指していると思われるが、これはエンドユーザー向きの内容ではない。
なぜこの禁止事項が書かれる様になったのか推察すると、同じくこのCPに、

2.1.3 証明書利用者の義務
  アプリケーション証明書の利用者は、次の義務を負う。
    ・アプリケーション証明書は、例規に基づき本CP に従って利用する。
    ・アプリケーション証明書及びその秘密鍵を安全に管理する。
    ・アプリケーション証明書の管理は、地方公共団体組織認証基盤における認証局鍵情
    報等利用規程に基づいて行う。
    ・秘密鍵が危殆化した場合は、速やかに本CP「1.1.2 関連規程」に示す各CPS に定め
    る組織に報告する。
    ・アプリケーション証明書は、本CP「1.3.2 適用性・適用環境など」で定める目的以
    外で適用しない。

という規定があるからではなかろうか。ここでいう、「アプリケーション証明書の利用者」は自治体でサービスを提供している側であって、サービスを利用するエンドユーザーではない。
仮にこの推理が当たっているとすると、この規定を作った人達は自らがCPを理解できていないということになる。

免責事項の方も重大で、万が一、ある都道府県のページが改竄されていてその記述を信用して、ニセのルート証明書をブラウザに組み込んだ結果、何が起きても責任は負わないというのだ。
確かに、これまで見てきた様に、「安全な通信を行うための証明書」は全く安全に配布されていないので、責任を負う事はさすがにできないだろう。
このやり方を続けていると、ニセのルート証明書を組み込ませた上でのフィッシング詐欺に引っかかる被害者が出ても不思議ではない。ルート証明書の組み込みという恐ろしい事を一般的な作業にしてしまった責任は非常に重い。
一方的に利用者に責任を押しつけつつ、安全でない方法で証明書インストールさせるというスタイルが許されて良いのだろうか。
ニセのルート証明書を組み込んでしまった場合に、インターネットバンキングを含めて全ての通信が危険にさらされるということを述べて、「自己の責任で」と述べている自治体は一つもなかった。知らないとすれば許されない無知であるし、知っていて予め免責事項に入れているのであれば相当に悪質である。

どうも「安全な通信を行うための証明書」なるものは、何かのツールの様なもので、入れさえすれば安全になる何かだと勘違いしている人達が多いのではなかろうか。穿った見方をすれば、この名前の付け方に欺瞞を感じる。
ルート証明書を組み込む様な大それた事を、手順を説明してまで一般利用者にやらせてはいけない[http://www.cubed-l.org/?date=20050112#p03] と思う。ルート証明書の組み込みが難しいのは、それなりの理由があることなのだ。

■ 関連記事

以上、1 日分です。

指定日の日記を表示

前月 2005年01月 翌月
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project