アカデミックでのS/MIMEメール普及に向けて～新UPKI証明書発行サービスの現状とこれから～

中村素典 / 国立情報学研究所

2017年2月27日, S/MIME普及シンポジウム2017

©2017 Motonori Nakamura/NII2

学術コンテンツ基盤

HPCI認証

学術認証フェデレーション

学術情報の公開・共有

国内回線全国100Gbps化と世界最速の400Gbps/1Tbpsへの対応 海外（米国・欧州・アジア）との高速接続 多様化するニーズに応えるSDNなどの最新ネットワーク技術の導入

クラウド活用支援

学術情報ネットワークの構築・運用

クラウド利活用促進による

大幅なIT経費削減・研究教育環境の高度化

学術情報流通と

オープンアクセスの推進

大学の機関リポジトリ拡充の推進

大学間連携支援

仕様統一したシステムによる

大学間連携、各種資源の相互利用の促進

クラウド支援サービス

SINET直結クラウド

セキュリティ強化

暗号技術活用による

情報の保護、安全な認証 ネットワーク機能連携による

サイバーアタック対策

電子証明書

無線LANローミング

超高速・高機能回線

アクセス回線共同調達

VPN

©2017 Motonori Nakamura/NII3

2007年4月～2015年6月 大学等のドメインに対するOV組織認証サーバ証明書を無償にて発行 サーバ証明書発行・導入のための啓発・評価研究（第１期）プロジェクト

UPKIオープンドメイン証明書自動発行検証（第２期）プロジェクト

成果 337機関

360ドメイン

のべ発行枚数23734枚

2015年1月～ 「UPKI電子証明書発行サービス」を開始

クライアント証明書、コードサイン証明書の発行にも対応

0

5000

10000

15000

20000

25000

30000

Issued

Valid

※2009年5月から2015年3月まで©2017 Motonori Nakamura/NII4

業務の委任（→）により効率化

通常は商用認証局が行う証明書発行のための審査等をNIIや大学で分担して行うことで、信頼性を高めつつ、業務の効率化やコスト削減を実現する方法（NIIや大学は必要に応じて商用のルート認証局から監査を受ける）

©2017 Motonori Nakamura/NII5

©2017 Motonori Nakamura/NII6

例：第2期プロジェクト（6年間）

学術スキーム導入による経費削減効果は，約2.2億円/年

セコムパスポートfor Web SR2.0の購入経費年額57,750円（自動更新）として計算30枚以上購入時には30,000円となるため，差額27,750円からバルク契約の削減経費を計算なお、セコムパスポートfor Web SR3.0の場合は年額59,400円（自動更新）

有効期間2年の証明書を23,734枚購入した場合の経費：2,741,277,000円＝本プロジェクトの委託経費 ： 80,000,000円＋バルク契約による削減経費 ：1,317,237,000円＋学術スキーム導入による削減経費：1,344,040,000円

©2017 Motonori Nakamura/NII7

サーバ証明書

従来のOV（Organization Validation）証明書だけでなく，より信頼性のレベルの高いEV（Extended Validation）発行への期待

クライアント証明書

現在各大学で個別に購入 or 独自に発行しているクライアント証明書発行への期待

ID/Password認証の限界

セキュアな認証方法の必要性

コードサイニング証明書 プログラム等に署名することで、利用者が警告を無視することなく利用可能 大学が提供するサービス（プログラム）、研究成果等の公開・配布

内容に誤りがないことを保証するものではないことに注意

クラウドサービスの信頼度 信頼度Ⅰ 信頼度Ⅱ 信頼度Ⅲ 信頼度Ⅳ

対応 認証レベル（LoA） Level1 Level2 Level3 Level4

機関が保有する情報の重要度

重要度Ⅰ

重要度Ⅱ

重要度Ⅲ

重要度Ⅳ

利用例：金沢大学

©2017 Motonori Nakamura/NII8

2012年度末アンケート調査（着実な需要の伸び） クライアント証明書使用中：41機関

商用認証局から購入：10機関 独自CA構築・運用：31機関

クライアント証明書運用にかかる費用 JIPDEC JCAN証明書：初期8万円＋1,000円/人・年

商用認証局から購入するともっと高価

独自CAを構築すると導入に約6千万＋運用に約9百万/年（大規模大学での運用コスト例）

1万人規模の大学で導入すると1,000万円/年 単純に40倍すると、4億円/年 の経費が必要

この費用を大幅に圧縮 大学での本格活用をきっかけに民間での活用が進むことを期待（特にS/MIME）

©2017 Motonori Nakamura/NII9

新サービス 旧プロジェクト

申請 機関の長から* 機関責任者から

費用 有償（定額） 無償

発行できる証明書 サーバ証明書クライアント証明書コード署名用証明書

サーバ証明書

ドメイン数 複数申請可能** 原則1つ

SINETへの加入 必須ではない 必須

署名アルゴリズム SHA-1 (2016/12まで)SHA-256

SHA-1

*：大学であれば，学長にあたる方**：機関が保持または管理するドメイン

©2017 Motonori Nakamura/NII10

構成員数 年額（税別）1-200 ¥30,000

201-400 ¥40,000

401-600 ¥50,000

601-800 ¥60,000

801-1000 ¥70,000

1001-1200 ¥80,000

1201-1400 ¥90,000

1401-1600 ¥100,000

1601-1800 ¥110,000

1801以上 ¥120,000

追加/ドメイン ¥20,000

✓ 構成員数： 常勤の教員・研究者数(CiNiiと同基準）

✓ 年額には，OV証明書（1ドメイン分），

クライアント証明書，コード署名用証明書を含む

✓ 発行枚数に制限なし

✓ クライアント証明書とコード署名用証明書は当面無償

✓ ドメイン追加時には，1ドメインごとに追加ドメインの額をプラス

✓ 数年後に改訂予定

©2017 Motonori Nakamura/NII11

0

50

100

150

200

250

300

350

400

450

2015年

1月

2015年

2月

2015年

3月

2015年

4月

2015年

5月

2015年

6月

2015年

7月

2015年

8月

2015年

9月

2015年

10月

2015年

11月

2015年

12月

2016年

1月

2016年

2月

2016年

3月

2016年

4月

2016年

5月

2016年

6月

2016年

7月

2016年

8月

2016年

9月

2016年

10月

2016年

11月

2016年

12月

2017年

1月

機関数 ドメイン数

12

400ドメイン

300機関

©2017 Motonori Nakamura/NII

0

2000

4000

6000

8000

10000

12000

14000

16000

1800015年

1月

15年

2月

15年

3月

15年

4月

15年

5月

15年

6月

15年

7月

15年

8月

15年

9月

15年

10月

15年

11月

15年

12月

16年

1月

16年

2月

16年

3月

16年

4月

16年

5月

16年

6月

16年

7月

16年

8月

16年

9月

16年

10月

16年

11月

16年

12月

17年

1月

のべ発行数

有効数

13

15413枚

©2017 Motonori Nakamura/NII

14

クライアント証明書 コード署名用証明書

0

500

1000

1500

2000

2500

3000

3500

15年

1月

15年

3月

15年

5月

15年

7月

15年

9月

15年

11月

16年

1月

16年

3月

16年

5月

16年

7月

16年

9月

16年

11月

17年

1月

のべ発行数

有効数

0

5

10

15

20

25

30

35

40

45

50

15年

1月

15年

3月

15年

5月

15年

7月

15年

9月

15年

11月

16年

1月

16年

3月

16年

5月

16年

7月

16年

9月

16年

11月

17年

1月

©2017 Motonori Nakamura/NII

©2017 Motonori Nakamura/NII15

クライアント証明書発行数 3087

S/MIME証明書(SHA-2) 1937 (約63%)

S/MIME証明書(SHA-1) 5

S/MIMEでない証明書(SHA-2) 1145 (約37%)

クライアント証明書発行機関数 37

10枚以上発行している機関：

北陸先端大

京都大

慶應大

J-PARCセンター

16

署名

暗号化

©2017 Motonori Nakamura/NII

利用者

①依頼

利用管理者

登録担当者

②発行申請

③TSV投入

支援システム

or

利用管理者

⑤証明書(PKCS#12)

配付 orweb enroll

利用管理者

or

アクセスPIN配付者

④アクセスPINの通知

©2017 Motonori Nakamura/NII17

©2017 Motonori Nakamura/NII18

NIIオープンフォーラム2016http://www.nii.ac.jp/csi/openforum2016/track/day2_4.htm

Microsoft Office Outlook/Windows Live Mail

Mozilla Thunderbird

Apple Mail, iOSのメーラ

Becky!

Postbox

Shuriken

秀丸メール

Mew

Sylpheed （署名検証のみ？）

など

19 ©2017 Motonori Nakamura/NII

Webメール / メールサーバ A-Cloud Mail （伊藤忠テクノソリューションズ） CommuniGate Pro （エアー） Gmailが対応するらしい

ゲートウェイ AntiPhishingMailGateway （デジタル・インフォメーション・テクノロジー）

秘文AE Email Gateway （日立ソリューションズ） HDE Secure Mail for S/MIME, HDE メールサービス（HDE）

パスワード共有 KIIS Whisper （関西情報センター）

メール配信 Cuenote FC （ユミルリンク） クライゼル （トライコーン）

https://jcan.jipdec.or.jp/app/smime.html より20 ©2017 Motonori Nakamura/NII

常に署名をつけておくことが重要（署名ポリシの公開） SPFやDKIMのような、ポリシを公開する統一的手段がない

利用者に対する効果のわかりやすさ 署名がついていなくても気がつきにくい（警告が出ない）

相手の公開鍵（証明書）がないと暗号メールを送れない どうやって公開鍵（証明書）を入手するか

配送時のヘッダ書き換え、転送で壊れる メーリングリスト、メールの転送（Fromの改変）、ウィルス対策、フリーメールの宣伝

古い鍵を残しておかないと暗号化メールが読めなくなる 鍵は定期的な更新が必要

届いたメールは復号したままでも良いのでは（別の手段で守る）

21 ©2017 Motonori Nakamura/NII

複数端末での鍵管理 同一の鍵を使うと、鍵の更新が面倒（？）

暗号化のためには、同一の鍵でないと面倒

WebメールサービスにおけるS/MIME対応 対応しているサービスが少ない

大手が対応すれば変わる？

クラウドサービス利用時の信頼性 秘密鍵の預託が必要

暗号メールが読まれてしまう可能性

署名メールが送信されてしまう可能性

送信ドメインのレピュテーションサービスとの連携 あくまでも成りすまし対策

署名が正しくても、フィッシングかもしれない

22 ©2017 Motonori Nakamura/NII

©2017 Motonori Nakamura/NII23

http://go.zixcorp.com/GAME.html

©2017 Motonori Nakamura/NII24

https://support.google.com/mail/answer/6330403

https://support.google.com/a/answer/6374496

©2017 Motonori Nakamura/NII25

https://zixcorp.wistia.com/medias/jmz4yrssqa

S/MIME運用ポリシーの策定、公開

個人（クライアント）証明書の発行・失効管理

組織的に安全な運用管理は可能か？

鍵の失効と保存（セキュリティと可用性）

暗号メールの受信後は別の手段で保護すれば、古い鍵の保持は不要になる

26 ©2017 Motonori Nakamura/NII

ID管理 証明書認証局個人ID属性情報

発行申請（個人ID）

解凍パスフレーズ

鍵ペア、解凍パスフレーズ

生成

クライアント証明書（PKCS#12）ダウンロード

証明書発行管理

解凍パスフレーズ

©2017 Motonori Nakamura/NII27

(IdP) (SP)

（プロビジョニング）

ユーザは学認で証明書発行管理システムにログインして、発行申請し、解凍パスフレーズを取得

認証局からクライアント証明書をダウンロードし、解凍パスフレーズを用いて証明書ストアにインストール

メールサーバにインストール

証明書ストアサーバ

ID管理 証明書認証局発行申請（個人ID）

解凍パスフレーズ

鍵ペア、解凍パスフレーズ

生成

クライアント証明書（PKCS#12）

証明書発行管理

©2017 Motonori Nakamura/NII28

ユーザは証明書を直接扱わない（安全、更新が容易）

問い合わせ（カードID）

PKCS#12

e解凍パスフレーズ

解凍フレーズ更新

カードPIN認証、更新

個人IDカードIDカードPIN初期解凍パスフレーズ

個人ID、カードID初期カードPINe解凍パスフレーズ

カードPIN送付

（カード内情報）カードID

初期解凍フレーズ

カードをセット、カードPIN入力

メールサーバにインストール

©2017 Motonori Nakamura/NII29

現在の認証局の契約（セコムトラストシステムズ）は、2017年12月末日まで（3年間）

次期認証局調達に向けて準備中

証明書の有効期間は25か月のまま（短縮なし）

次期CAによる証明書発行は2018年1月開始予定

移行期間は2018年1月～2018年6月を予定

次期サービスへのご意見・ご要望がありましたらサービス窓口までお寄せください

certs@nii.ac.jp

UPKI証明書発行サービスによるクライアント証明書普及促進

課題は大学のIDMシステムの整備と証明書自動発行連携

UPKIパス等による、クライアント証明書の安全な活用方法の促進

S/MIMEの普及に期待

©2017 Motonori Nakamura/NII30