メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索

ニュースレターNo.31/2005年11月発行

IPアドレス認証局~電子証明書を用いた認証強化実験の開始について~

概要

2005年9月1日、電子証明書を用いた認証強化実験を開始いたしました。2002年から経済産業省の受託調査研究である「IPアドレス認証局」プロジェクトを実施しており、今回の実験は、そこで構築された「JPNIC資源管理認証局」をIPアドレスに関する申請業務で利用する実験です。

図1:IPアドレス認証局と認証局の構造
図1:IPアドレス認証局と認証局の構造

この実験はWeb申請システムによるIPアドレス等資源の申請の際の認証強化を実現するためものです。IPアドレス管理指定事業者(以下、IP指定事業者)の組織に属する方に「資源管理カード」と呼ばれるICカードとICカードリーダーをお配りします。このICカードには、Web申請システムへログインする際に使われる電子証明書が入っています。
この実験の背景と特徴についてご説明します。

資源管理カード
資源管理カード

登録情報の安全性と認証強化の背景

近年、レジストリ(JPNICのようなアドレス資源の管理組織)にある登録情報を書き換え、IPアドレスやAS番号をハイジャックする「WHOIS Hijacking」と呼ばれる行為が数多く報告されています。

Hijacked IPs(Complete WHOIS)
http://www.completewhois.com/hijacked/index.htm

WHOIS Hijackingを未然に防ぐ手段の中で、ユーザー認証はとても重要です。しかし長い間、「MAIL-FROM」や「CRYPT-PW」といった、第三者による盗聴に弱い方式が使われていました。今後は盗聴を始めフィッシング等の手法に対してもユーザーのなりすましを防いだり、事後の対応が取れるような方式が必要だと考えられます。

本実験の特徴
 - IP指定事業者による証明書管理機能 -

本実験では、JPNIC資源管理認証局を使ってユーザー向けの電子証明書を発行します。しかしIP指定事業者の申請業務の状況から、JPNIC資源管理認証局では、ユーザーの本人性の確認手順に工夫が必要となりました。

例えば、IP指定事業者から業務委託を受け、IP指定事業者の組織に属さないユーザーが各種申請業務を行うケースがあります。このようなケースでは、JPNICによって直接そのユーザーの本人性が確認されているよりも、むしろ申請業務を委任したIP指定事業者によって本人性が確認されていることの方が重要です。

図2:業務の委託と本人性の確認
図2:業務の委託と本人性の確認

また申請業務の担当者が変わったときに、前任者がログインできなくなるような仕組みも必要です。そこで下記のような機能を実現するための開発を行いました。

○IP指定事業者による電子証明書管理
IP指定事業者に属する「契約・資源管理者」は「資源管理カード」を使ってWeb申請システムにアクセスします。「契約・資源管理者」は「資源申請者」の電子証明書の発行や失効を行うことができます。

「契約・資源管理者」は「資源申請者」の本人性を確認し、あるIDを伝えると、発行された電子証明書を入手させることができます。

○Web申請システムと同じ仕組みのユーザー管理
Web申請システムにおけるユーザーのアカウントと連動し、IP指定事業者が電子証明書のユーザーのログイン可否を決めることができます。

電子証明書の利用方法

電子証明書を利用するためには、まずIP指定事業者の組織に属する方が「契約・資源管理者」の電子証明書を入手する必要があります。これが冒頭で紹介した「資源管理カード」です。

資源管理カードの入手には別途お配りしている「資源管理証明書 発行申請書」に必要事項を記入し提出して頂きます。その際にIP指定事業者の組織に所属する書類(職員証の写しなど)などを提出して頂きます。

電子証明書が発行されると、ICカードとICカード・リーダーが郵送されます。同封のマニュアルに従って、WebブラウザにJPNIC資源管理認証局の電子証明書の組み込みなどを行い、Web申請システムにアクセスします。

電子証明書を使ってWeb申請システムにアクセスすると、証明書管理のページが表示されるようになります。このページを使ってユーザーである「資源申請者」の証明書を管理することができます。

今後の活動

本実験を通して、今後は約一年間を目処に本運用に向けた改善点の洗い出し等を行って行きたいと思います。その後、改善点を反映し、安全でありながら便利な認証の実施を目指したいと思います。

2005年9月1日、本実験に関する第一回の説明会を開催しました。この説明会では実験への参加方法、ICカードのセットアップ方法、利用方法などをご説明致しました。今後も定期的に同様の説明会を行い、実験参加者を募っていこうと考えております。

また電子証明書を使った割り当て情報のバッチ転送機能(Webトランザクション機能)に関しても、なるべく早い時期にご利用頂けるよう、準備を進めて参ります。登録情報の安全な管理のため、実験参加へのご協力をよろしくお願い致します。

認証局に関わるお問い合わせ窓口
ca-query@nic.ad.jp
JPNICの認証局に関するWebページ
http://jpnic-ca.nic.ad.jp/

(JPNIC 技術部セキュリティ事業担当 木村泰司)

このページを評価してください

このWebページは役に立ちましたか?
よろしければ回答の理由をご記入ください

それ以外にも、ページの改良点等がございましたら自由にご記入ください。

回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2023 Japan Network Information Center. All Rights Reserved.