最終更新日:2024-01-11
情報セキュリティ対策の強化する手段として、クライアント証明書発行サービスの導入を検討している方へ。電子証明書の仕組みやできること、比較ポイントとともに、おすすめのサービスを紹介します。
クライアント証明書発行サービスとは、決められたクライアント(=ユーザーのPC、スマホなどのデバイス)だけに、システムやネットワークへのアクセスを許可する「クライアント証明書」を発行するサービスです。利用者・利用デバイスを制限することで、情報セキュリティを強化できます。
クライアント証明書とは、接続元のユーザーやデバイス(=クライアント)が正規の利用者であることを証明するための電子証明書です。「インターネット上の身分証明書」と言えば、イメージしやすいかもしれません。クライアント証明書を用いることで、従業員はその都度ID・パスワードを入力してログインする手間を省略でき、管理者もパスワード管理の負担を軽減可能。企業としても不正ログインの防止が期待できます。
従来のID・パスワードによるログイン認証では、管理がずさんになりやすく、不正アクセスや情報漏えいのリスクと常に隣り合わせの状況でした。しかし、リスク管理が必要とはいえ、昨今ではPCの使用を社内に限定するといった対応は現実的ではなく、業務効率にも大きく影響してしまいます。
クライアント証明書による認証システムをすると、証明書がインストールされていない端末からはアクセスができません。逆に証明書があれば、ID・パワスワード不要で、いつ、どこからでも安全にログイン可能です。クライアント証明書発行サービスを利用すれば、セキュリティ面と利便性の両方をカバーできるようになります。
クライアント証明書発行サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
“クライアント証明書発行サービス”の 一括資料ダウンロードする(無料)
クライアント証明書を発行するには、「①プライベート認証局を運用する」「②クラウド型の証明書発行サービスを利用する」「③マネージドPKIを利用する」の3つの方法があります。
クライアント証明書を発行するには、「認証局(CA:Certification Authority)」が必要です。認証局は、登録者の身元を確認する「登録局(RA: Registration Authority)」や、証明書の発行を行う「発行局(IA: Issuing Authority)」などから構成されます。
これらの環境を自社で構築して、オンプレミスで「プライベート認証局」を運用することが可能です。「プライベート認証局」のメリットはカスタマイズ性の高さやサービス利用料金がかからないこと。
一方で、独自に構築した認証局であるため、証明書の信頼性が公的には担保されず、社内など閉じられたネットワーク内でしか利用できない、環境構築や証明書の配布・設定などの運用負担が大きい、といったデメリットがあります。
専用サーバーを用意する必要がないなど、管理者の負荷を最低限に抑えながら証明書を発行できるようになるのが強み。証明書の発行・更新・失効といった管理業務を効率化するための機能が充実しています。マルチデバイス・マルチネットワークアクセスや、多様な証明書の配布方法に対応したサービスも。
URLにアクセスするだけで証明書が取得できるなど、エンドユーザーにとっての使いやすさも魅力です。本記事で紹介するのは、こちらのクラウド型のクライアント証明書発行サービスになります。
認証局アウトソーシングサービス(マネージドPKI)では、監査機関による厳しい審査に合格した公的な認証局である「パブリック認証局」が証明書を発行します。そのため、証明書の信頼性が高く、公に対しても正当性を証明することができます。アウトソーシングにより運用を委託すれば、自社の負担を削減できるというメリットもあります。
デメリットはプライベート認証局に比べてカスタマイズ性が低い点ですが、近年では自社の要件やポリシーに合わせて「プライベート認証局」を構築してくれるマネージドPKIサービスも登場しています。
クライアント証明書を利用することで、社内システムへのアクセスや社内・社外のメールのやり取りが安全に行えるようになります。以下、「アクセスセキュリティ」と「メールセキュリティ」の2つの項目に分けて活用法をご紹介していきます。
従来のID・パスワードのみの認証方法は、「ID・パスワードの盗難・紛失」「私物デバイスやネットカフェなど低セキュリティからのアクセスが可能」などのリスクがあり、万全ではありません。クライアント証明書には、以下のような活用法が考えられます。
クライアント証明書を併用すれば、「ID・パスワード」と、「クライアント証明書」の二要素による認証ができ、確実に本人(またはデバイス)を確認できるようになります。万が一ID・パスワードが盗まれても、クライアント認証との二段構えになっているので、情報漏えいを水際で阻止できます。
ID・パスワードの代わりに、クライアント証明書を用いてログイン認証を行うことも可能です。利用者がID・パスワードをわざわざメモ書きしたり毎回入力したりする手間が省けるため、セキュリティと利便性を同時に高められます。
クライアント証明書はシステムへのログインだけでなく、メールを送る際の暗号化、署名などメールセキュリティの向上にも役立ちます。具体的には、以下のような活用法があります。
クライアント証明書を利用すれば、メール本文や添付ファイルを暗号化して送信できるようになります。暗号化されたメールは解読が難しいため、盗聴による情報漏えいの防止策として有効です。
クライアント証明書はメールへの電子署名にも利用できます。送信元の署名の有無で正規の送信者かどうかを確認できるため、なりすましやフィッシング詐欺などの被害防止に役立ちます。
クライアント証明書発行の費用は、ベンダーにもよりますが、1枚あたり3,000円~10,000円(年額)ほどが目安です。
社内の全デバイス分のクライアント証明書を購入するとそれなりの費用がかかることになりますが、ベンダーによっては証明書の複製やエクスポートが可能。そのため、1人に対してPCやスマホなどの複数デバイスが支給されている場合には、同じ証明書を用いるといった対応もできます。
管理画面からの証明書発行や更新期限の一括管理などには、ほとんどのサービスが対応しています。導入サービスを比較する際は、以下のようなポイントを判断材料にすることをおすすめします。
全ての証明書には有効期間が設定されており、有効期間が過ぎると認証ができなくなるため、証明書の入れ替えが必要になります。有効期間が長ければ更新管理の手間は省けますが、古い証明書を長期間使うことはセキュリティリスクの増加につながるというデメリットも。
パブリック認証局の場合は、有効期限が「1年」や「2年」と固定されるのが基本となっているのに対し、プライベート認証局の場合はユーザーが有効期限を自由に設定できます。利用目的に適したほうを選ぶとよいでしょう。
たとえば、「Enterprise Premium電子証明書発行サービス(EPPCERT)」は証明書の有効期限を1、2、3、5年から選択可能です。また、「端末認証用クライアント証明書発行サービス」は、企業ごとの事情に合わせて有効期限を柔軟に設定できます。
パブリック認証局のセキュリティポリシーや有効期間の設定が、自社のニーズとは合わない場合があります。自社で独自の基準や規定を設けて証明書を発行したい場合は、プライベート認証局の構築・運用を委託できるサービスを選びましょう。
たとえば「セコムパスポートforMember2.0/セコムパスポートfor PublicID」は、企業ごとの認証ポリシーや運用規定に則った証明局の構築に対応しています。
API連携によって、自社システムから証明書の発行や更新を行えるクライアント証明書発行サービスもあります。証明書発行までの工程を短縮することで、業務の効率化を図れることがメリットです。証明書の発行にスピード感を求める場合は、導入検討しているサービスが自社の既存システムと連携可能かどうかを確認しておきましょう。
たとえば、「NRA-PKI」はAPI連携によって自社システムから証明書の管理が行えるようになり、発行までの工数を大幅に削減することができます。
“クライアント証明書発行サービス”の 一括資料ダウンロードする(無料)
(出所:マネージドPKI Lite byGMO公式Webサイト)
コストパフォーマンスと信頼性のバランスに定評があるクライアント証明書発行サービス。最少1ライセンスからマネージドPKIサービスを利用できる。5,200社以上にクライアント証明書を導入してきたGMOグローバルサインが提供するサービスであることから知名度が高く、対外的に高い信頼性を示せるというメリットがある。
アクセス制限、メール暗号化、メールへの署名、Officeドキュメントへの署名など様々な用途に利用可能。画面カスタマイズや管理者追加、プロファイル追加、S/MIMEでの利用などもすべて無償で行える。ハードウェアの故障などで証明書が失われた場合は、有効期間内であれば何度でも再発行ができるので、ライセンスを消費することもない。また、すでに同社のSSLサーバー証明書を導入している場合は、それとあわせて一括で管理することが可能で、更なる利便性の向上が期待できる。
(出所:OpenCanvasクライアント証明書公式Webサイト)
政府系・大手金融機関など、セキュリティが厳しい環境への提供実績が豊富なクライアント証明書サービス。プライベートCAを活用し、証明書発行・更新・失効の一括管理に対応。インターネットバンキングなどに使う1,000万台以上の端末にクライアント証明書を提供してきたシステムや運用体制がベース。金融機関向けのクラウドサービスで提供されるためセキュアな環境保証が強み。
サイト・アプリ・APIでの管理サービス提供方法をはじめ、証明書の設定内容を含めて柔軟にカスタマイズ可能。実績ある認証局システムと運用体制を利用し、料金を抑えている。
(出所:サイバートラスト デバイスID公式Webサイト)
厳格な端末認証を実現するクライアント証明書発行サービス。ユーザーのデバイスに割り振られる端末識別情報を利用して、確実な端末認証を行う。10ライセンスから利用可能。発行した証明書は、メールや SMS でユーザーに届き、手順に従えばインストールから設定までをユーザー自身が簡単に行うことができるため、管理者の負担軽減につながる。複数端末の一括管理や、安全なテレワーク環境の整備といったシーンで活用されている。
マルチデバイス・マルチネットワークアクセスに対応しているほか、シングルサインオン(SSO)やモバイルデバイス管理(MDM)といった他社ソリューションとの連携が可能。利便性が高くセキュアな認証を実現する。また、OTA、TPM、AES、SCEP、WebAPIなど利用用途に応じて多様な証明書配付方法をオプション選択可能。
(出所:セコムパスポートforMember2.0/セコムパスポートfor PublicID公式Webサイト)
様々な認証局システムの運用実績を持つセコムトラストシステムズ株式会社が運営する、クライアント証明書発行サービス。クライアント用電子証明書の発行に必要な2つの情報を別々のルートで配布し、本人だけが電子証明書を入手できる確実な配布システム。高度な物理的セキュリティとネットワークセキュリティが施された環境で運用されている。更に、災害・障害対策、厳密な人的オペレーションと定期的な監査など、信頼性の高い電子証明書を発行するにふさわしい体制が整えられている。
試験的な小規模の運用から、本格的な大規模運用まで、自社の規模に応じた利用が可能。専用管理サイトから証明書の発行・取消・状況照会が簡単に行え、効率的な運用が実現できる。電子証明書発行審査業務などのルール、ポリシー策定のサポートも提供。
(出所:端末認証用クライアント証明書発行サービス公式Webサイト)
フレキシブルな管理に対応した端末認証用クライアント証明書発行サービス。デバイスを端末識別子などで厳密に特定し、私有スマホなど許可されていないデバイスからのアクセスを防止する。Microsoft365のアプリ認証や、SaaS利用時の認証強化にも効果的。プライベート認証局サービスであるため、自社のニーズに合わせて柔軟に有効期間を設定できる。
有効期限が近い証明書の確認や端末紛失時の証明書失効、証明書の一括発行など、管理業務の負荷軽減に役立つ機能が充実。Web APIにより自社のシステムとの連携ができるほか、同社が提供するID管理製品やモバイルデバイス管理製品と連携させることで、ID情報やデバイス情報を紐づけることもできる。
(出所:FujiSSL Client Authentication and Secure Email公式Webサイト)
明確でわかりやすい料金体系が魅力のクライアント証明書発行サービス。1ライセンス年額3,000円と非常にリーズナブルで初期費用も不要。1ライセンスでパソコンやスマホ、タブレットなど、複数の機器に証明書をインストールして使うことができる。インストール先の上限数はなく、エクスポートを不可とすることも可能。
専用の管理画面からの証明書一元管理はもちろん、Webアプリケーションへのアクセスコントロールや二要素認証、電子メールの署名・暗号化に対応。発行した証明書の署名情報をメールに紐づけることで、送信元の信頼性向上にも役立てられる。利用開始まで最短1日と、スピーディな対応に定評あり。
(出所:NRA-PKI公式Webサイト)
マルチデバイス対応のクライアント証明書発行サービス。1ライセンスで、パソコンやスマホなど複数の機器に証明書をインストールして利用することができるため、低コストで運用することができる。API連携により自社システムから証明書の管理が行え、証明書発行までの工数を大幅に削減する。Microsoft365のログイン認証を「ID+パスワード」運用ではなく、クライアント証明書を用意するだけで認証追加できる。さらに認証局は、高レベルのセキュリティで運用管理されている「サイバートラスト電子認証センター」内に設置されているので、高い安全性と信頼性が期待できる。
(出所:Enterprise Premium電子証明書発行サービス公式Webサイト)
認証用途、署名用途の複数の証明書プロファイル、有効期間のラインナップが豊富で、多様な用途で使われている電子証明書発行サービス。VPNやSSL/TLSに対応しており、リモートアクセスやクラウドサービス認証、メール署名・暗号、Webアクセスなど、自社のニーズに合わせて様々な要件を反映できる。
証明書の有効期間は1、2、3、5年から選べる。また、ダウンロード形式での提供のほか、電子証明書の格納媒体はCDやUSBメモリー・トークン、ICカードのいずれかの選択が可能。電子証明書の発行、失効申請の際は利用者から個別に申請手続きを行う必要はなく、利用者の申請負荷がかからない。一括申請の際、電子証明書の格納媒体や有効期間の開始日は申請1件ごとに指定が可能。媒体の配送期間を考慮して電子証明書を発行できる。電子証明書の発行・格納作業の代行にも対応しているので、運用負荷軽減にも役立つ。
クライアント証明書とは、「インターネット上の身分証」にあたるもので、サイバー攻撃、フィッシング詐欺などに起因する機密情報の漏えいなどを防止するのに役立ちます。クライアント証明書発行サービスを利用することで、利便性を保ちつつセキュリティを強化することができます。
今や重要な経営課題のひとつとなった情報セキュリティ対策。企業の重要な情報資産を守るため、クライアント証明書発行サービスの導入を検討してみてください。
クライアント証明書発行サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
“クライアント証明書発行サービス”の 一括資料ダウンロードする(無料)
GMOグローバルサイン株式会社
5,200社以上の導入実績を誇るクライアント証明書発行・管理サービス。クライアント証明書を用いた多要素認証で、システムのセキュリティ強化とアクセス時の利便性向上...
株式会社NTTデータグループ
法人企業や金融機関へ多数のサービス提供実績のある「NTTデータ」のクライアント証明書サービス。...
<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。