お知らせ

第２回認証局分科会を開催します

　すでにメーリングリストではご案内しておりますが、福岡オンライン認証実験WGの第２回認証局分科会を開催します。　

• 日時：5月12日（月曜）午後６時半〜８時半
• 場所：福岡市早良区百道浜SRPセンタービル７階 ISIT会議室
• 参加方法：自由、無料

テーマ「実践デジタル認証入門（システム構築編）」

　「実践デジタル認証入門（原理編）」につづく第2弾です。内容としては、BSD系UNIXもしくはWindowsNTをプラットフォームにした認証局と認証機能付きWWWサーバーの構築作業の解説と具体的な設定方法です。（使用するソフトは、Apache + SSL patch , SSLeay を想定しています。）

• 認証局ソフトとSSLをサポートしたWWWサーバーのインストール
• 認証局の立ち上げ
• ISIT認証局へのデジタル証明書発行依頼と認証局への登録
• WWWサーバー用デジタル証明書の発行と登録
• Netscape 用の個人証明書の発行と登録

もう５月になってしまいました。

このニューズレターは、全国に発送していますので、「福岡からよくわからないものが届いた」と思われる方もいらっしゃると思います。そこで、はじめてニューズレターを手にされる方のために、最初にこのWGの主旨と目的を説明します。

電子マネーのチュートリアルを行いました

４月２３日に福岡市百道浜のSRPセンタービル２階で、福岡オンライン認証実験ＷＧ主催の電子マネーのチュートリアルを開催しました。

御講演いただいたのは、九州大学大学院システム情報科学研究科情報工学専攻、櫻井研究室の宮崎真悟氏です。暗合技術の専門家の立場から現在の主要な電子マネーの仕組みについてわかりやすく解説していただきました。

50名を越える参加者があり、活発な質問と意見交換がありました。福岡オンライン認証WGでは今後も月に１度程度の頻度でこのようなチュートリアルを次々に開催してゆく予定です。

第1回ネットワーク分科会

去る4月9日に福岡オンライン認証実験WGの第1回ネットワーク分科会を開催しました。

参加者：17名

参加者の企業名（公開可能なもののみ）

（ジャストシステム、福岡シティ銀行、日立、ネットワークカタリスト、システムラボラトリー、九州松下電器、アクセス、西日本銀行、シティアスコム、ISIT）

実験ネットワークの目的

我々の実験WGで構築しようとしているネットワークについて、あらためてその目的と意義について議論しました。 目的としては次のようなことが上げられました。

1. 　技術開発のためのテストベッドネットワーク

   　福岡市ももち地区にインターネットの新技術を実験するための実験場を作り、福岡をインターネットの研究拠点とする。

2. 　将来の福岡のネットワークインフラの一部

   　光ファイバイー網を活用した商用サービスを運用し、福岡のマルチメディアインフラの端緒を開く。

3. 　オンライン認証実験用

   　現在のオンライン認証実験のためのネットワーク

• 「3.のオンライン認証実験用」の目的には、ISITとの直結回線は必要なのか？
• 福岡には研究所を持つ企業が少なく「1.テストベッドネットワーク」が必要だということを会社に納得させる理由が明確でない。
• 「1.のテストベッドネットワーク」は、不安定な技術を試すためのものであり、一方「2.将来の福岡のネットワークインフラの一部」は安定性が要求されるので、統合できない。

第1回分科会の議論の中ではこれらに関する結論は出ませんでした。この議論には、たいへん多くの複雑な要件が関係していますので、今後、問題を深く理解しながら議論を深めるということを確認しました。

実験ネットワークの基本デザイン

ネットワークの目的と同様に、これから作ろうとしている実験ネットワークの基本設計と将来像について議論を行いました。

1. ドメイン名

   今後１年間の認証実験の期間は、ISITのドメインを使用する。しかし、実験以外の用途に使用しようとするとAUP(Acceptable Use Policy)の問題が生じるので、将来は商用プロバイダの参加も含めてマルチドメイン化について検討すべきであろう。また、実験ネットワーク自体もISITのドメイン名ではなく、テストベッドネットワーク専用のものを取得すべきかもしれない。

2. ネットワークトポロジー

   今後１年間の認証実験の期間は、ISITを中心においた距離１のスター型トポロジーをとる。接続先からの孫接続や相互接続は、管理上の問題が複雑化するので原則として禁止するが、将来はもっと自由なネットワーク構成を許すようにしたい。

セキュリティーに関する方針

これまでは、ファイアーウォールをISITで作り実験ネットワーク全体を安全に守るという方針で説明してきました。しかし、この方針に次のような問題点があります。

1. どっちが「内側」か？

   認証実験ネットワークの管理者は各企業に分散しているので、それぞれの企業の中でどのような運用が行われているのかファイアーウォールの管理者にはわからない。したがって、ファイアーウォールとして守るべき領域が閉じたものでなく内側と外側というはっきりした境界にはできない。

2. 　守る対象はユーザーではない

   通常のファイアーウォールは、ある範囲のエンドユーザーを守るために構築されるが、我々の実験ネットワークでは守るべき対象は、個々のサーバーであってエンドユーザーではない。

このような条件を併せて考えると、いわゆる「ファイアーウォール」という概念よりは、もっと個別にサーバーを守るという概念で安全性を考えるべきではないかという考えに至りました。そこでプロキシーサーバーの運用という点に注目し、次のような新しいネットワーク構成を提案しました。

●実験ネットワークを２つに分割します。一方を防御ネットワークとし、もう一方を無防備ネットワークとします。防御ネットワークは、インターネットとの間にプロキシーサーバーを介在させることによってセキュリティーを要求するサーバー群を守ります。無防備ネットワーク側の防御は、基本的に接続した組織が自分で行うという方針です。

認証実験としてはプロキシーを設定するセキュアなネットワーク側が重要な役割を果たしますが、将来のテストベッドネットワークとしては、むしろ無防備の側が重要になると考えられます。

この方針の変更については、特に異論はでませんでした。

実施計画について

各社の担当者に、実験への参加の計画についてお話していただきました。すぐにISITに接続できそうな企業は、4社でした。（この日欠席していた富士通を入れると5社になります）

接続に関する問題点としてあげられたのは、次のようなことでした。

• 企業の事業として予算化できるような事業計画案を作ってもらわないと、参加が難しい
• 認証技術の標準化動向がつかめないと参入が難しい

これらの問題については、ISITの努力がまだ不足しているということですので、今後さらに実験企画の充実や情報提供を進めてゆくつもりです。

第1回認証局分科会

4月23日に第1回目の福岡オンライン認証実験WG認証局分科会を開催しました。

参加者：18名

参加者の企業名（公開可能なもののみ）

（ドットアスタ、ジャストシステム、システムラボラトリー、アクセス、日立、九州松下電器、シティアスコム、福岡シティ銀行、ハイパーネットワーク社会研究所、ISIT、個人参加）

夕方6時半から開催しましたので、個人参加の方も何人かいらっしゃいました。今後の分科会は、個人参加の方のために、夕方開催することにします。

今回の内容はデジタル認証の原理の解説でした。今後もしばらくは、認証局に関する勉強会を行ってゆきます。そしてそれぞれの企業で自社の認証局とセキュアなWWWサーバーを立ち上げて運用できるようにしたいと考えています。

現在、「実践デジタル認証入門」という題で、デジタル認証の解説を、原理編、システム構築編、運用編の３部作でドキュメント化しようとしています。これを読めば、自分で認証局を作れるというものにしようとしています。

なお、勉強会に使用した資料は、順次 HTML化して福岡オンライン認証実験WGのホームページで公開する予定です。今回の資料は、すでにHTML化して公開しています。

	http://www.k-isit.or.jp/~tonton/OAWG/CA/index.html

今回の原理編の解説では、デジタル認証とはどういうもので、認証局とはどういう役割を担い、どのような機能を果たすものなのかという説明をしました。想像していたよりも、みなさんよくご理解いただけたようで安心しました。

参加者から多くの質問が出たのは、原理そのものよりもやはり実際の運用に関係する部分でした。やはり認証局の運用をどうするべきかというところは悩ましい問題が多いですね。

ISIT認証局のデジタル証明書

メーリングリストのご案内

問い合わせ先

九州システム情報技術研究所
〒814　福岡市早良区百道浜2-1-22　福岡SRPセンタービル
山崎重一郎 電子メール:tonton@k-isit.or.jp

TEL:092-852-3460
FAX:092-852-3465

Copyright (C) 1997 by ISIT, All rights reserved.