次期証明書発行サービスの詳細仕様と価格体系

次期証明書発行サービスの詳細仕様と価格体系 2014-05-29 国立情報学研究所学術基盤推進部学術基盤課認証担当

学術スキームに基づく UPKI オープンドメイン証明書参加機関数 323 発行枚数約 19000 ( 平成 25 年度末 ) 認証作業部会利用状況のフィードバック ( 年 1 回 ) 審査発行機関責任者審査配布プロジェクト参加機関事務局 (NII) 登録担当者加入者ルート認証局登録発行発行時の手続き審査時の手続きの最適化証明書インストール証明書発行ルート証明書 ( 中間証明書 ) オープンドメイン認証局 ( 発行局 ) 証明書発行 ( サーバ証明書 ) 加入者サーバ 2

通常は商用認証局が行う証明書発行のための審査等を, NII や大学で分担して行うことで信頼性を高めつつ業務の効率化やコスト削減を実現する方法 (NII や大学は必要に応じて商用のルート認証局から監査を受ける ) 3 業務の委任 ( ) により効率化

サーバ証明書発行導入のための啓発評価研究プロジェクト ( 第一期プロジェクト ) 平成 19 年 4 月 2 日 ~ 平成 21 年 6 月 31 日参加機関数 97 機関のべ発行枚数 2,413 枚 UPKI オープンドメイン証明書自動発行検証プロジェクト ( 第二期プロジェクト ) 平成 21 年 4 月 1 日 ~ 平成 24 年 3 月 31 日参加機関数 276 機関のべ発行枚数 9,561 枚 UPKI オープンドメイン証明書自動発行検証プロジェクト延長 ( 第二期プロジェクト 2) 平成 24 年 4 月 1 日 ~ 平成 27 年 3 月 31 日参加機関数 323 機関のべ発行枚数 19,009 枚 ( 平成 25 年度末時点 ) 大学等のドメインに対する OV 証明書を無償にて発行証明書の有効期限 :25 ヶ月 4

09 年 5 月 09 年 7 月 09 年 9 月 09 年 11 月 10 年 1 月 10 年 3 月 10 年 5 月 10 年 7 月 10 年 9 月 10 年 11 月 11 年 1 月 11 年 3 月 11 年 5 月 11 年 7 月 11 年 9 月 11 年 11 月 12 年 1 月 12 年 3 月 12 年 5 月 12 年 7 月 12 年 9 月 12 年 11 月 13 年 1 月 13 年 3 月 13 年 5 月 13 年 7 月 13 年 9 月 13 年 11 月 14 年 1 月 14 年 3 月 20000 18000 19000 枚超 16000 14000 12000 のべ発行数有効数 10000 8000 6000 4000 2000 約 10000 枚 0 5

例 : 第二期プロジェクト ( 前半 ):3 年間の総額有効期間 2 年の証明書を9,561 枚購入した場合の経費 :1,104,295,500 円 = 本プロジェクトの委託経費 : 36,225,000 円 +バルク契約による削減経費 :530,635,500 円 + 学術スキーム導入による削減経費 :537,435,000 円セコムパスポート for Web SR2.0 の購入経費年額 57,750 円として計算 30 枚以上購入時には 30,000 円となるため, 差額 27,750 円からバルク契約の削減経費を計算学術スキーム導入による経費削減効果は, 約 1.8 億円 / 年 6

大学視点大学のインフラの一部として定着大学サービスのセキュリティ信頼性を担保サービス継続への強い希望有料化となったとしてもサービスの継続を希望学内 CA を構築するのと同等の利便性 NII 視点 7 大学サービスのトラストアンカーとして NII が機能ドメインと機関の関係を保証し, 大学サービスの信頼性の礎となる証明書発行サービスを NII が提供することの意義学術スキームにおける NII の役割 NII が主体となり継続する必要性 ( 商用サービスでは実現不可 ) 学術全体としての安全性信頼性とブランド力の向上

本サービスが有料化される場合いくらまでならば支払うことができますか? 個別 ( サーバ証明書 1 枚毎 ) 2 万 -3 万, 3 万 -4 万, 4 0 4 万 -5 万, 2 1 万 -2 万, 12 5 千 -1 万, 無料, 74 41 1 千 -5 千, 1-1 千, 27 26 20 万 - 30 万, 3 10 万 - 20 万, 4 5 万 - 10 万, 20 年間 ( 定額一括払い ) 30 万 - 40 万, 0 40 万 - 50 万, 3 1-1 万, 12 1 万 -5 万, 28 有料化となってもサービスの継続利用を希望 8

サーバ証明書従来の OV(Organization Validation) 証明書だけでなく, より信頼性のレベルの高い EV(Extended Validation) 発行への期待クライアント証明書利用例 : 金沢大学現在各大学で個別に購入 or 独自に発行しているクライアント証明書発行への期待クラウドサービスの信頼度信頼度 Ⅰ 信頼度 Ⅱ 信頼度 Ⅲ 信頼度 Ⅳ 対応認証レベル (LoA) Level1 Level2 Level3 Level4 重要度 Ⅰ 学内統合認証基盤の普及機微な情報を含む学内の多くのサービスに接続 ID/Password 認証の限界機関が保有する情報の重要度重要度 Ⅱ 重要度 Ⅲ 重要度 Ⅳ クライアント証明書等を使ったセキュアな認証方法の必要性 9

現行の OV 証明書だけでなく, EV 証明書の利用ニーズはありますか? 独自に業者から購入する, 3 EV 証明書のニーズ 6 20 枚, 23 利用予定枚数 21 枚以上, 5 NII のサービスから購入したい, 118 EV 証明書は利用しない, 72 1 5 枚, 81 利用する予定はない, 73 参考 : シマンテックセキュアサーバID EV 170,100 円 / 年セコムパスポート for Web EV 141,750 円 / 年より高い信頼性を証明する EV 証明書発行の期待 10

クライアント証明書の利用ニーズはありますか? 現在利用している証明書の発行元 NII からの購入希望その他, 21 商用認証局 ( パブリック証明書 ), 10 購入しない, 23 独自 CA, 31 購入したい, 40 参考 : 京都大学独自 CAの運用コスト, 初期導入約 6000 万, 運用 900 万円 / 年 JIPDEC JCAN 証明書 80,000 円 +(1,050 円 )* 人 / 年クライアント証明書の発行サービスに対する期待 11

コードサイニング証明書大学 ICT 環境の高セキュリティ化要請への対応プログラム等に署名することで利用者が警告を無視することなく利用可能大学が提供するサービス研究成果等の公開配布コードサイニング証明書とは Web サーバ等で提供されるプログラムやドキュメントに署名 Java Flash ActiveX MS Office BVA 実行ファイル (.exe) Android アプリ PDF など各機関のプログラム開発者やドキュメント管理者に対して証明書を発行署名ツールを利用してプログラムに署名署名の正当性を OS ブラウザウイルス対策ソフト等が検証してから実行署名を行ったコードサイニング証明書の有効期限内であれば付与された署名が有効事業者が発行するタイムスタンプ ( 無料 ) を含めればコードサイニング証明書の有効期限に関係なく 5~20 年程度有効 ( 各タイムスタンプサーバの署名の有効期限内 ) 12

米国 :InCommon Certificate Service 学術スキームと同等の委任手続きを採用 OV, EV, クライアント, コードサイニング証明書を発行 267 機関が参加 ( 2013 年 11 月 18 日現在 ) 有償サービス研究大学 :$20K/year, 小規模大 :$3K/year 個別購入の1/4~1/5 程度の価格で提供欧州 :TERENA Certificate Service 学術スキームと同等の委任手続きを採用 OV, EV, クライアント,e-Science, コードサイニング証明書を発行欧州の 29 国の NREN が参加 ( 2013 年 11 月 18 日現在 ) 合計発行枚数 :80,870 枚有償サービス NREN 毎の定額制 ( さらに各国 NRENで独自の料金徴収モデルをもつ ) EV 証明書は $150/year/ 枚 13

NII サービスとして事業化 ( 普及啓蒙学術スキームの構築から, さらに次のステップへ ) 従来の OV 証明書に加えて,EV 証明書, クライアント証明書, コードサイン証明も発行発行ドメインの制約緩和各機関の負担コストを抑えつつ継続運用するための独立採算を目指した有償化クライアント証明書, コードサイン証明書は普及啓蒙フェーズとしてサービス開始 14

機関の規模に応じた定額制 OV, クライアント, コードサイン証明書の発行枚数無制限 OV 証明書購入しやすい価格学校の規模ごとに段階的に設定ドメイン単位に課金 ( 発行ドメインの制約緩和 ) 追加ドメインの料金は小規模大学のオリジナルドメイン程度発行対象機関は従来どおり高等教育研究機関等 EV 証明書は 1 枚ごとに別途課金サービス開始時期については検討中クライアント証明書, コードサイン証明書は当面無料普及啓蒙フェーズ 15

EV (Extended Validation) OV (Organization Validation) DV (Domain Validated) UPKI 組織実在審査費用審査レベル信頼度 EV あり別高高 OV あり参加費に含む中中 DV なし簡易低 1 枚ごとに別途支払いが必要 16

17 構成員数年額 ( 税別 ) 1-200 30,000 201-400 40,000 401-600 50,000 601-800 60,000 801-1000 70,000 1001-1200 80,000 1201-1400 90,000 1401-1600 100,000 1601-1800 110,000 1801 以上 120,000 追加ドメイン 20,000 構成員数 = 常勤の教員研究者数 (CiNii と同基準 ) 年額には 1 ドメインの OV 証明書クライアント証明書コード署名用証明書を含むサービス開始当初はクライアント証明書とコード署名用証明書は無償ドメイン追加時には追加ドメインの額をプラス各証明書の発行枚数に上限なし数年後に改訂の可能性あり

2012 年度末アンケート調査クライアント証明書使用中 :41 機関商用認証局から購入 :10 機関独自 CA 構築運用 :31 機関クライアント証明書運用にかかる費用 JIPDEC JCAN 証明書 : 初期 8 万円 +1,000 円 / 人年商用認証局から購入するともっと高価独自 CA を構築すると導入に約 6 千万 + 運用に約 9 百万 / 年 ( 大規模大学での運用コスト例 ) 1 万人規模の大学で導入すると 1,000 万円 / 年単純に 40 倍すると 4 億円 / 年の経費が必要この費用を大幅に圧縮大学での本格活用をきっかけに民間での活用が進むことを期待 ( 特に S/MIME) 18

用途認証署名 ( 電子メール文書 ) 暗号化 ( 電子メール ) 電子メールで使用する場合は証明書にメールアドレスの記載が必要配布方法ユーザ単位 - 端末紛失等で当該ユーザの全端末証明書の再インストールが必要端末単位 - 電子メールの暗号化利用に難あり発行方法バルク ( 大学担当者がまとめて申請受領 ) ユーザごと ( 大学担当者を経由して申請し利用者が受領 ) 有効期限 2~3 年程度で検討中活用形態 1. アプリケーション ( モバイルデバイス等 ) にストア 2. ICカード (Type B 等 ) にストア 3. FCF 等 (FeliCa) と連携 19

クライアント証明書発行事業者 NII 調達範囲 IDM/ 認証 DB/ 証明書ストア ( バルク ) 発行要求 ( バルク ) 発行在籍者 DB ユーザ情報認証秘密鍵証明書 (PKCS#12)?? 利用者 CRL 失効リスト証明書認証認証サービス IdP radius CAへの発行申請 ( 大学管理者経由 ) バルク発行? 個別発行? ユーザへの配布方法 CA から直接ダウンロード? 大学の証明書ストア ( リポジトリ ) 経由? ユーザごとの発行状況管理人事学籍失効再発行申請複数証明書発行時のデバイスごとの紐付け Web メールとの連携? 20 Web メール S/MIME

クライアント証明書発行事業者 NII 調達範囲 IDM/ 認証 DB/ 証明書ストア ( バルク ) 発行要求 ( バルク ) 発行ユーザ情報在籍者 DB 認証 (PKCS#12) 秘密鍵証明書 IC カードなしでの利用利用者 CRL 失効リスト証明書認証認証サービス IdP radius 人事学籍? S/MIME 秘密鍵の生成はCAまたはIDM ICカードによるMSスマートカードログオン認証サードパーティ CA への対応 Web メールとの連携? 21 Web メール

クライアント証明書発行事業者 NII 調達範囲 IDM/ 認証 DB/ 証明書ストア ( バルク ) 発行要求 ( バルク ) 発行人事学籍ユーザ情報在籍者 DB 認証秘密鍵証明書 (PKCS#12) カード認証 (PW) 利用者端末? CRL 失効リスト証明書認証認証サービス IdP radius 証明書認証 IC カードなしでの利用 JCAN パス SDK が利用可 PKCS#12による発行管理カードにPKCS#12を復号するパスワード (PW) を封入 FCFにて端末ログイン認証 Webメールとの連携? 22 Web メール S/MIME

Microsoft Internet Explorer 8 以上 Firefox 24.0 以上 Opera 12.15 以上 Apple Safari 6.0 以上 Google Chrome 34.0.1847.116 以上 ios 用 Safari 4.0 以上 Android 4.0 以降に対応した Google Chrome 2009 年 1 月以降に日本で発売された携帯電話に搭載された Web ブラウザでルート認証局証明書の鍵長 RSA2048bit に対応したブラウザ 23

Apache(mod ssl) 1.3 Apache(mod ssl) 2.0 Apache-SSL(1.3.33+1.55) Microsoft IIS 6.0~8.5 IBM HTTP Server6.0.2 Tomcat 5~7 24

Microsoft Internet Explorer 8 (Windows) 以上 Firefox 24.0 (Windows, OSX) 以上 Opera 12.15 (Windows, OSX) 以上 Apple Safari 6.0 (OSX) 以上 Google Chrome 34.0.1847.116 (Windows, OSX) 以上 Android 4.0 以上 ios 3.1.3 以上 25

Windows 用.exe Windows 用.cab Windows 用.dll Windows 用デバイスドライバ Windows PowerShell 用スクリプト JAVA.jar Android 用アプリケーション.apk Mac OSX.app bundles Microsoft Silverlight ベースアプリケーション Adobe AIR 26

マイクロソフトセキュリティアドバイザリ 2880823 (2013 年 11 月 13 日公開 ) マイクロソフトルート証明書プログラムでの SHA-1 ハッシュアルゴリズムの廃止マイクロソフトはマイクロソフトルート証明書プログラムのポリシーを変更したことをお知らせします新しいポリシーでは 2016 年 1 月 1 日以降ルート証明機関は SSL とコードサイニングの目的で SHA-1 ハッシュアルゴリズムを使って X.509 証明書を発行できなくなりますマイクロソフトは証明機関が SHA-1 ハッシュアルゴリズムを使って新しく生成された証明書に署名せずに SHA-2 に移行することを推奨しますまたお客様ができるだけ早い機会に SHA-1 証明書を SHA-2 証明書に置き換えることを推奨します引用もと :https://technet.microsoft.com/ja-jp/library/security/2880823 当初は SHA-1/2 双方扱えることとし時期を定めて SHA-2 への移行を進める予定です 27

サーバ証明書 2015 年 1 月よりクライアント証明書 2015 年 4 月以降予定コード署名用証明書 2015 年 4 月以降予定 28

受付開始時期 10 月頃を予定参加費について 2014 年度内 (2015 年 1 月 ~3 月 ) 無料とする予定移行期間という意味合い 2015 年度以降支払い方法支払先調整中 29

秋頃までに各地域で説明会を実施予定です形態日程については決まり次第機関責任者登録担当者用メーリングリストホームページ (https://upki-portal.nii.ac.jp/ ) などでお知らせいたします 30

平成 25 年平成 26 年平成 27 年平成 28 年広報開始新規サービス開始現行サービス終了 9 1 0 1 1 1 2 1 2 3 4 5 6 7 8 9 1 0 1 1 1 2 1 2 3 4 5 6 7 8 9 1 0 1 1 1 2 1 2 3 4 現契約 (25 年度 ) 現契約 (26 年度 ) 延長 CRL 延長新規発行停止証明書有効期限 (25 ヶ月 ) 一括失効閉局証明書有効期限 (25 ヶ月 ) 有効期限短縮開始証明書有効期限 (24 ヶ月 ) 有効期限 (15 ヶ月 ) 新規契約調達期間移行期間 6 カ月 31