KeyTools Pro

情報資産を保護するためのコンポーネントおよび手法

セキュリティ インフラストラクチャおよび eビジネス

情報資産を保護するためのコンポーネントおよび手法

セキュリティ インフラストラクチャは相補的なコンポーネントで構成されており、 各アプリケーションがeビジネス環境において効果的かつセキュリティで保護された状態でやり取りできることを保証しています。 アプリケーションによってそれらのコンポーネントを使用してeビジネス処理を実行し、機密性、整合性、認証、 および否認防止といった基本的なセキュリティ要件を満たします。 セキュリティ プロトコルおよびシステムを構築して利用する際の一般的なステップの概要を次に説明します。

  1. 多くのセキュリティ プロトコル(S/MIME、SSL...)は電子証明書技術に基づいています。 エンド ユーザ、マシン、およびデバイス全てを証明し、電子証明書を発行することができます。 アプリケーションは、標準プロトコルを使用して認証局(CA)に証明書リクエストを出し、生成された証明書を受け取ります。 それらのプロトコルには、PKCS #10 / #7( 証明書リクエスト/応答フォーマット)、PKIX標準、 SCEP プロトコルおよび CRS プロトコルなどがあります。 これが通常エンド ユーザとアプリケーションで行われる初期ステップです。
  2. 電子証明書を一旦受け取ることができれば、セキュリティで保護された状況でアプリケーション同士をやり取りさせることが可能になります。 通常アプリケーションでは、メッセージ ベース システム(例えば電子メール) またはセッション ベース システム(Web ブラウザあるいは他の http ベース システム)のどちらかによって通信を行います。 メッセージ ベース システムに対応した業界全体のセキュリティ標準は S/MIME プロトコルです。 宛先に送信する前に、S/MIME によってドキュメントや他の電子データへの確実な署名と暗号化を行い、 ドキュメントの送信元の検証、および意図した相手だけがドキュメントの内容を利用できることを保証します。
  3. XML は拡張可能なマークアップ言語(Extensible Mark-up Language)で、情報交換分野の業界標準となっています。 XML におけるセキュリティの必要性は明白で、IETF および W3C では XML 署名を生成するための標準メカニズムを定義し、 XML ドキュメントを交換するアプリケーションで使用可能です。 つまり、KeyTools XMLは、これらに準拠した世界初のツールキットであり、 今後PKIの対応のXMLに関するアプリケーションを開発する上で重要な役割を果たします。
  4. アプリケーションでは、メッセージ ベース システムの代わりにオンライン セッションを介して通信します。 セッション ベース セキュリティ システムでは、SSL (TLS) (を使用して機密性、整合性、 およびオンライン処理中の認証を実現します。 これらのプロトコルにより、オープン ネットワーク全体においてセキュリティで保護された通信が可能になります。
  5. セキュリティが最優先される場合、(プライベート キーのような) 機密性の高い情報をファイルベースの保存方法だけでは要求される保護レベルを達成できない可能性があります。 そのような場合は、アプリケーションとそのユーザがスマートカードを利用することでこの問題を解決することができます。 スマートカードにはプライベートキーと他の個人的な情報が保存され、カード自体で暗号処理を施します。 これにより、鍵情報は決してカードから漏れず、 たとえ一時的にでもアプリケーションが動作するコンピュータ システム内に入り込むことがないことを保証します。
  6. アプリケーションとそのユーザにとっては、他ユーザの証明書を取得、 あるいは証明書が失効したかどうかを確認する必要が頻繁に生じます。 そうした証明書および証明書失効リスト (CRL) は、通常パブリック ディレクトリに保存されています。 それらは、CA によってディレクトリに発行されます。
  7. 次にアプリケーションでは、LDAPを使用して証明書および CRL をディレクトリから取得します。
  8. 別の方法として、CA は、OCSP (Online Certificate Status Protocol) レスポンダに失効証明書情報を発行することもあります。
  9. アプリケーションでは、OCSP レスポンダに照会して証明書のステータス(失効、未失効、ないしはステータス不明)を確認します。
page top

アプリケーション環境へのセキュリティ統合

調査済みの開発要件

PKI対応アプリケーションでは、一般的に PKI (公開鍵暗号技術基盤) および他のセキュリティ環境において他のエンティティといくつかの標準的な方法でやり取りしますが、 その一部として次の方法があります。

  • アプリケーション ユーザのID(証明書とプライベートキー) 生成
  • 他のアプリケーションとの間での、電子的に署名、暗号化されたデータの送受信
  • 認証局への証明書リクエスト
  • 証明書リポジトリ(例えば、LDAP 対応ディレクトリ)からのユーザ証明書および CA 証明書の取得
  • 証明書の失効ステータスの確認(例えば、OCSP ないし CRL を使用)
  • 暗号トークン(スマートカードおよびハードウェア セキュリティ モジュール)によって可能になるセキュリティ技術を利用

サードパーティシステムとの相互運用性を確保するため、 オープンな業界全体の標準に基づいて上記の処理を実行する必要があります。

それには、RSA のような暗号アルゴリズム、そしてSSL および S/MIME のようなセキュリティ通信、 LDAPのようなインターネット標準、加えてX.509 証明書、PKCS、PKIX、OCSP プロトコルを含むPKIコンポーネント、 さらに ANSI 標準などがあります。

アプリケーションにセキュリティ コンポーネントを統合する場合は、 できるだけ効果的かつ簡単な方法で実行する必要があります。 実際にそれは何を意味し、開発者、製品およびプロジェクト マネージャ、 および CTO がセキュリティ ツールキットに何を求めているのかについて考えます。

セキュリティ コンポーネント全てには、開発者が利用できる次の属性が求められます。

高レベルのインターフェイス - 短期間でのアプリケーション開発および市場への投入

開発製品すべてにとって必要不可欠な要素です。 目まぐるしく変化する今日の環境では、短期間での市場への製品投入が成功の秘訣です。

この目的を達成するためには、高レベルで直感的な使いやすいインターフェイスによって開発チームで使用するサードパーティ製品を利用可能にする必要があります。

これにより開発期間は短縮され、開発者は複雑な暗号、セキュリティ技術、およびプロトコルについて学ぶ必要がなくなります。

高度に統合されたセキュリティ コンポーネント セット - 「ツールボックス」方式

それぞれのアプリケーションには別々のセキュリティ要件があるので、セキュリティ開発製品にその点を反映させます。

開発者は、自分のアプリケーションの要件を満たすコンポーネントを選択可能にする製品を必要としています。 さらに、コンポーネントそれぞれを他の全てのコンポーネントと高度に統合して、シームレスに動作させます。

加えて、統合された「ツールボックス」方式を採用しているので、各コンポーネントは全体的なアーキテクチャに適合しており、 各コンポーネントによって提供されるインターフェイス全ては共通の見た目と操作性を持つことになります。

この方式により将来的なセキュリティ要件を満たすことが容易になり、 新しいコンポーネントを既存および将来のアプリケーションに迅速かつ容易に統合できることを保証します。

別の利点として、開発者は機能を新たに追加する場合でも特に新しいことを学ぶ必要がありません。

管理運用性 - セキュリティ ポリシー管理

セキュリティ ポリシー主導の API という論理的枠組みは基本的に新しい概念です。

セキュリティポリシーを使用すれば、開発者が単純な最上位インターフェイスを利用する環境を整えることができます。 セキュリティポリシーがあれば、アプリケーション開発者、アプリケーション ユーザ、 あるいは中央の管理者の誰かが迅速かつ容易に必要なセキュリティパラメータを設定することができます。

これにより、開発の速度と容易さの向上、エラー発生率の低減、試験の簡素化、および保守管理コストの削減が図られます。

一元的にセキュリティ ポリシーを管理することで、 アプリケーションのセキュリティパラメータ全てを中央の1箇所から操作することができ、 分散的なインストールベースにおいても秀でた構成と制御を可能にします。肝要な点ですが、 このセキュリティ ポリシーは単なる開発時の機能ではなく、エンド ユーザアプリケーションに常駐して機能し続けます。

これにより、セキュリティポリシーはアプリケーションの付加価値機能となり、 アプリケーション開発者は競合他社に対して競争上の高い優位性を獲得することになります。

クロス プラットフォームのサポート

開発者は、業界標準の両プラットフォームでネイティブに動作し、 100% Pure Java を使用して構築されたような完全にプラットフォームから独立した高性能コンポーネントが必要です。

この総括的なクロスプラットフォームをサポートすることによってのみ、 どんな場合にでも導入可能なソリューションが実現されます。

迅速な問題解決 - グローバル カスタマーサポート

市場への投入期間の短さを保証するために重要な考慮点は、入り組んだ問題を迅速に解決するということです。 開発者は、柔軟な対応が可能で豊かな経験を積み、世界中に窓口を持つ信頼できるベンダーからの専門的なサポートを得て、 サポート問題の素早い解決を保証する必要があります。

page top

対応プラットフォーム

  Core Components Snap-In Components
KeyTools Pro KeyTools SSL KeyTools S/MIME KeyTools XML
C++
Java
対応プラットフォーム(C++):
Windows 2003 Enterprise Edition, Windows 2000 SP4, Windows XP SP2,
Windows Vista(v5.3.3.1以降),Solaris 2.8(64bit sparc),Linux 2.4.18-3
対応プラットフォーム(Java):
Windows 2000, Windows XP Professional,Solaris 2.6(sparc),Solaris 2.8(64bit sparc),Linux 2.4.18-3
開発環境(C++)
Windows Microsoft Developer Studio 6.0+SP5
Microsoft Visual Studio 2005+SP1(v5.3.3.1以降)
Solaris 2.8(64bit) forte 6.1 / GNU Make 3.7.9
Linux gcc 3.2/GNU Make 3.7.9
開発環境(Java)
Java JDK 1.2.x/1.3/1.4/1.5

価格とライセンスについてはお問い合わせください

page top

FAQ

Q1. KeyTools における「ポリシー」とは何ですか?

A.

「ポリシー」は、KeyTools において最もパワフルなコンセプトの1つです。ポリシー は KeyTools ライブラリの振る舞いを一元管理する事ができ、 また ポリシーの変更はダイナミックに KeyTools ライブラリの振る舞いを変化させます。

この事により、アプリケーション開発時だけではなく、 アプリケーション実行環境におけるトータルコントロールをも可能にする最大限のフレキシビリティを手に入れられる事が保証されます。

ポリシーは下記のようなパラメータを設定する事により使用されます。

  • 暗号プロファイル ( 使用する鍵のサイズ、アルゴリズム等... )
  • 暗号ソース ( HSM, スマートカード、ソフトウェア等... )
  • CA コミュニケーションに使用するプロトコル
  • LDAP ディレクトリの タイプおよび ロケーション
  • 証明書失効確認メカニズム
  • 証明書発行リクエストに使用する情報

ポリシーの情報は、セキュリティポリシーのページをご覧ください。

Q2. KeyTools の長所は何ですか?

A.

以下のような長所を持ちます。

  • KeyToolsは、これまでの暗号ツールキットとは異なり、証明書ハンドリングに特化したPKI対応アプリケーション開発ツールキットです。抽象化された暗号インターフェイスの提供により開発者は、暗号に関する特別な知識を必要とせず、開発するアプリケーションに対し強度な暗号機能を追加する事が可能です。
  • KeyToolsは開発者用製品群の新シリーズ゙の名称で、KeyTools Proの2製品を中心にした7種からなっており、その統一された製品体系によりSSL, S/MIME, XML等、開発者が必要とする最先端のセキュリティ機能が提供されます。
    また、統一されたAPIの提供によりPKI対応アプリケーションを容易に開発する事ができます。
  • PKIのリーディングカンパニーである米国サイバートラスト社が提供するPKI対応アプリケーション開発ツールキットであり、オープンスタンダードや業界標準など、広範囲のアプリケーションに対応します。
page top
pagetop