クライアント証明書を導入する企業は、二要素認証の必要性から年々コンスタントに伸び続けています。USBトークンやスマートカードと組み合わせて使用することで、クライアント証明書の秘密鍵を管理することができるのはよく知られていると思いますが、Windows 8 / Windows Server 2012ではバーチャルスマートカード(以下、VSC)というものを用いて秘密鍵を厳密に管理する機能もあります。

バーチャルスマートカード

Windows 8 / Windows Server 2012からOSの機能として実装されており、Trusted Platform Module(以下、TPM)対応のチップと組み合わせて使用します。TPMはハードウェア耐タンパー性を持つセキュリティチップであり、クライアント証明書の秘密鍵をHDDではなくTPM対応のチップ内で管理します。期待されるセキュリティの効果として、チップの外で暗号化されていない秘密鍵が使われることがなくなります。つまり、証明書のエクスポートやコピーをして他の端末に証明書を移すことが、バーチャルスマートカードを利用すると不可能になります。

USBトークンやスマートカードとの比較

物理的なデバイスと端末内のチップでの必要な環境、運用方法の違いについてまとめました。

  必要な環境
VSC TPM対応のCPU。
Windows Vista以降のPCより随時、TPMを搭載していますが、対応しているかどうかはPCメーカーのサポートサイトにて確認します。
またVSC自体はWindows 8以降となります。
USBトークン・スマートカード USBトークンもしくはスマートカードとリーダー。
デバイスベンダーが提供するドライバが対応するOS。
  複数端末で使う場合
VSC 不便(各端末でVSCのセットアップならびに証明書のインストールが必要)
USBトークン・スマートカード 基本、ドライバの設定のみ。
  複数人でシェアする場合
VSC VSCのスロットを用意し、クライアント証明書を設定。
USBトークン・スマートカード PCに差し込むだけ。

違いについての総括

USBトークンやスマートカードと違い、VSCを利用する事でクライアント証明書は設定した端末に限定されますが、ハードウェアの追加購入費用が発生しないというのは強みとなります。しかしながらサポートという面では、OS標準の機能と最初から搭載されていたチップにて行いますので、企業向けサポートが密に受けられるかどうかは疑問があります。

GMOグローバルサインの『マネージドPKI Lite byGMO』との併用方法

  • Windows 8環境にてTPMのバージョンが1.2以上でTPMが有効になっていることを確認
  • VSCのセットアップ(セットアップ時にコマンドプロンプトは管理者権限にて実施する必要があります)
  • GMOグローバルサインの証明書プロファイルにて秘密鍵をエクスポート不可に設定
  • 証明書を取得する際の暗号化プロバイダは“Microsoft Base Smart Card Crypto Provider”を選択
  • VSCのセットアップ時に設定したPINを入力
  • 証明書のインストール

以後クライアント証明書を用いる際には、以下の画面が表示されるようになるので、同様にVSCセットアップ時に設定したPINを入力してください。

pin.png

導入にあたっての注意点

  • PCがTPMに対応しているチップを搭載している
  • TPMのバージョンが1.2以上である
  • Windows 8以降である
  • 証明書のバックアップやエクスポートは出来ないため、端末の切替時には証明書の新規発行が必要

トピック関連記事

#

2024年01月24日

AWS ALBでのクライアント証明書認証の設定方法

#

2019年11月26日

情報セキュリティの課題を解決する公開鍵暗号方式

#

2023年09月12日

Microsoft Entra ID(旧 Azure AD)へのハードウェアセキュリティキーを利用した証明書認証の認証イメージ

この記事を書きました

杉野 充洋

杉野 充洋
所属:GMOグローバルサイン プロダクトマーケティング部