ITパスポート 令和6年度 問66:securityに関する問題
PKI における CA (Certificate Authority) の役割に関する記述として、適切なものはどれか。
- aインターネットと内部ネットワークの間にあって、内部ネットワーク上のコンピュータに代わってインターネットにアクセスする。
- bインターネットと内部ネットワークの間にあって、パケットフィルタリング機能などを用いてインターネットから内部ネットワークへの不正アクセスを防ぐ。
- c利用者に指定されたドメイン名を基に IP アドレスとドメイン名の対応付けを行い、利用者を目的のサーバにアクセスさせる。
- d利用者の公開鍵に対する公開鍵証明書の発行や失効を行い、鍵の正当性を保証する。正答
AI解説(初心者・標準・上級)
理解度に合わせて3レベルの解説を無料で読めます。
答えは d です。
CA(認証局)は、インターネット版の“役所”のような存在です。あなたの「公開鍵」という鍵に対して「これは本物の○○さんの鍵で間違いありません」とお墨付き(証明書)を発行してくれます。期限切れや問題があれば取り消しもします。
👉 覚え方:CA=鍵の身元を保証してくれる“信頼の役所”。
ほかの選択肢:a は社内の代わりにネットへ出ていく代理役(プロキシ)/b は外からの不正侵入を防ぐ門番(ファイアウォール)/c は名前をIPアドレス(住所)に変換する案内係(DNS)。どれもCAとは別の役割です。
なぜこれが正解か
正解は d。CA(認証局)はPKI(公開鍵基盤)の中核機関で、利用者の公開鍵に対しデジタル証明書(公開鍵証明書)を発行・失効し、その鍵が確かに本人のものであるという正当性を保証する。これにより「なりすまし公開鍵」を防げる。
各選択肢の解説
- a:社内PCの代わりに外部へアクセスする=プロキシサーバ。
- b:パケットフィルタリングで外部からの不正アクセスを防ぐ=ファイアウォール。
- c:ドメイン名とIPアドレスを対応付ける=DNSサーバ。
覚え方・ひっかけ注意
CA=「鍵に身分証明書を出す機関」。a・b・cはいずれもネットワーク機器・サーバの役割で、暗号鍵の正当性保証とは無関係。PKIと出たら「CA=証明書の発行・失効」と直結させる。
理論的背景
PKI(Public Key Infrastructure:公開鍵基盤)は非対称暗号を運用するための信頼の連鎖(Chain of Trust)を構築するフレームワークであり、CAはその中核を担う。CA(Certificate Authority:認証局)の核心的役割は「公開鍵と実体(個人・法人・サーバ)の紐付けを保証する公開鍵証明書の発行」と「失効管理」の2点。公開鍵証明書はX.509形式で、CAの秘密鍵で署名されたデジタル文書であり、サブジェクト(証明対象)の識別情報・公開鍵・有効期限・発行者(CA)情報を含む。信頼の起点となるルートCA証明書はOSやブラウザに組み込まれており(Mozilla NSS・Microsoft Root Program等)、中間CAを介した多層構造(Root CA → Intermediate CA → End-entity Certificate)でセキュリティと運用効率を両立する。失効管理はCRL(Certificate Revocation List:証明書失効リスト)またはOCSP(Online Certificate Status Protocol)で実装される。
実務での使われ方
CAの実務活用は複数の領域に及ぶ。TLS/SSL証明書(HTTPS)はWebサーバがドメイン名の正当性を証明するために使用し、DV(Domain Validation)・OV(Organization Validation)・EV(Extended Validation)の3グレードがある。コードサイニング証明書はソフトウェア発行元の正当性をWindowsやmacOSが検証するために使用。S/MIME証明書は電子メールの署名と暗号化に使用。企業内PKI(プライベートCA)はActive Directory証明書サービス(AD CS)やVaultで構築され、VPN接続・Wi-Fi認証(IEEE 802.1X)・デバイス証明書の発行に使われる。証明書の有効期間短縮(業界標準が398日→90日へ移行中)とACME(Automated Certificate Management Environment)による自動更新が2020年代の重要トレンドである。
試験での位置づけ
CA・PKIはITパスポート「テクノロジ系/セキュリティ」の頻出テーマ。本問の選択肢aはプロキシサーバ、選択肢bはファイアウォール、選択肢cはDNSサーバの説明であり、ネットワーク構成要素の役割を整理できているかを問う複合問題になっている。近年の出題傾向では「CAの機能」単体ではなく、「PKIの各構成要素の役割を正確に区別できるか」を問う形式が増加。基本情報技術者(FE)ではデジタル署名の生成・検証フロー(送信者が秘密鍵で署名、受信者が公開鍵で検証)とPKIの組み合わせ問題が頻出。情報処理安全確保支援士(SC)ではOCSPステープリング・CTログ(Certificate Transparency)・Let's Encrypt/ACMEプロトコルの実装レベルまで問われる。
選択肢の発展補足
選択肢aのプロキシサーバ(Forward Proxy)はクライアントの代理でWebアクセスを行い、URLフィルタリング・キャッシュ・匿名化を提供するが、鍵証明書管理とは無関係。選択肢bのファイアウォールはパケットフィルタリング・ステートフルインスペクション・WAF等でネットワーク境界を保護するが、証明書の正当性保証は担わない。選択肢cのDNSサーバはドメイン名とIPアドレスの名前解決を担当。なおDNSSEC(DNS Security Extensions)はDNS応答の完全性検証にデジタル署名を使用し、PKIと類似の概念が適用されるため混同注意。CAと混同しやすい概念として「RA(Registration Authority:登録局)」があり、RAは申請者の身元確認を担当し、CAが実際の証明書署名を行うという役割分担を押さえておくと応用問題に対応できる。
出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和6年度 問66/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。