PKIとは
この記事は約 2 分で読めます
PKI (Public Key Infrastructure 、公開鍵暗号基盤) とは、デジタル証明書の発行・管理・検証を行うための仕組みの総称です。認証局 (CA) が公開鍵の所有者を検証して証明書を発行し、TLS 通信やデジタル署名の信頼基盤として機能します。 2025 年現在、証明書の有効期間短縮 (90 日化) の動きが加速し、自動化の重要性がさらに高まっています。
現場での使用例
「社内 PKI を構築し、全社員にクライアント証明書を発行しました。 VPN 接続時にパスワードだけでなく証明書による認証を要求することで、フィッシングで認証情報が漏洩しても不正アクセスを防止できる体制を整えています。」
PKI 構成図
PKI の構成要素
PKI はルート CA (最上位の認証局)、中間 CA (ルート CA から委任された認証局)、エンドエンティティ証明書 (サーバーやユーザーに発行される証明書)、 CRL/OCSP (失効した証明書の確認手段) で構成されます。ブラウザが HTTPS サイトを信頼できるのは、サーバー証明書から中間 CA 、ルート CA へと信頼の連鎖 (チェーン) をたどり、ブラウザに事前登録されたルート CA に到達できるからです。PKI の入門書 (Amazon)で体系的に学べます。
実務での活用シナリオ
企業内 PKI では、社内 CA を構築して社員証明書を発行し、 VPN 接続やメール暗号化に利用します。 IoT 環境では、デバイス証明書を使って正規デバイスのみがネットワークに接続できるよう制御します。クラウド環境では、 AWS Certificate Manager や Let's Encrypt が証明書の発行・更新を自動化し、運用負荷を大幅に軽減しています。暗号化の基礎を理解した上で PKI を学ぶと、全体像が把握しやすくなります。
運用の注意点
PKI の最大のリスクは CA の秘密鍵の漏洩です。ルート CA の秘密鍵が漏洩すると、その CA が発行したすべての証明書の信頼が崩壊します。HSM で CA の秘密鍵を保護し、ルート CA はオフラインで運用するのが鉄則です。強力なランダムパスワードで CA の管理コンソールを保護し、証明書の有効期限管理を自動化しましょう。証明書管理の書籍 (Amazon)も参考になります。
この記事は役に立ちましたか?