ITパスポート 令和8年度 問90：securityに関する問題

答えは c です。

PKI（公開鍵基盤）は、ネット上で『この相手は本物だよ』と保証してくれる仕組みです。

たとえるなら身分証明書（パスポート）の発行所。あなたが『私は本人です』と言うだけでは信じてもらえませんが、信頼できる役所（認証局＝CA）が発行した証明書があれば、相手は安心できます。

この『証明書が正しいと役所が保証する』のがPKIの中心。

👉 覚え方：PKI＝ネットの身分証を発行・保証する役所がいる仕組み。

ほかの選択肢：a/d は『共通鍵』『秘密鍵を公開』など、鍵の扱いを取り違え／b は知人同士で信用し合う別の方式（PGP）の話です。

なぜこれが正解か

正解は c。PKI（Public Key Infrastructure）は公開鍵暗号を安全に運用するための基盤で、中核に認証局（CA）が存在する。CAが利用者の公開鍵に対して電子証明書を発行し、その証明書の正当性（＝公開鍵が本人のものであること）を保証する。

各選択肢の解説

• a：PKIが扱うのは公開鍵。『共通鍵の所有者確認』は対象外。
• b：知人の署名を信頼する『信頼の輪（Web of Trust）』はPGPの方式で、CAを使うPKIとは異なる。
• c：CAが電子証明書の正当性を保証＝PKIの本質。正しい。
• d：秘密鍵は本人だけが秘匿するもの。『安全に公開』は矛盾。

覚え方・ひっかけ注意

『PKI＝CA（認証局）が証明書を保証』とセットで暗記。bのWeb of Trust（PGP）との対比が頻出の罠。秘密鍵は絶対に公開しない（dは即誤り）点も押さえる。

理論的背景

PKI（Public Key Infrastructure：公開鍵基盤）は非対称暗号技術を実用的に運用するための制度・技術・組織の総体であり、本問正解cの「電子証明書の正当性を認証局（CA：Certificate Authority）が保証する」がPKIの核心機能。X.509標準（ITU-T定義）で規定された電子証明書は「公開鍵と所有者の同一性を認証局が電子署名で保証する文書」として機能し、中間者攻撃（MITM：Man-in-the-Middle Attack）を防ぐ。

PKIの信頼連鎖（Chain of Trust）：ルートCA（自己署名証明書）→中間CA（ルートCAが署名）→エンドエンティティ証明書（中間CAが署名）という階層構造で信頼を伝播する。OSやブラウザにルートCA証明書がプリインストール（約170のルートCA）されており、このトラストアンカーを起点として全ての証明書の有効性が検証される。

PKIの主要コンポーネント：CA（証明書発行・失効）・RA（Registration Authority：身元確認）・CRL/OCSP（Certificate Revocation List/Online Certificate Status Protocol：失効確認）・証明書ストア（OSのトラストストア）。

誤り選択肢の分析：a「共通鍵の所有者確認」はPKIが公開鍵（非対称暗号）を扱うという定義と矛盾。b「信頼の輪（Web of Trust）」はGPGのような非階層型の信頼モデルでPKIとは異なるアーキテクチャ（PGP方式）。d「秘密鍵の安全な公開」は矛盾概念（秘密鍵は公開しない）。

実務での使われ方

TLS/SSL（現代ではTLS 1.3が標準）はPKIを使ってHTTPS通信を保護する最も広範な応用例。Webサーバの証明書（Let's Encrypt等の無料CA・Comodo・DigiCert等の商用CA）がブラウザとのTLSハンドシェイクでPKI信頼検証を実行する。2024年現在、GoogleはChromeブラウザでの証明書の有効期間を90日（現行365日から短縮）に制限するポリシーを推進しており、自動証明書更新（ACME プロトコル：Let's Encryptが推進）の重要性が増している。企業内PKI（Private CA）はイントラネットのHTTPS・クライアント証明書認証（スマートカード・相互TLS）・S/MIME（電子メール署名・暗号化）・コード署名（ソフトウェアの真正性保証）に活用される。

試験での位置づけ

PKIはITパスポートのセキュリティ分野で毎年出題される最重要トピックの一つ。公開鍵暗号・電子署名・認証局・電子証明書の相互関係の理解が問われる。「認証局が証明書の正当性を保証」というPKIの核心概念は確実に覚える。近年のITパスポート試験ではTLS1.3の特徴・量子コンピュータ耐性暗号（Post-Quantum Cryptography：PQC）との関係・CT（Certificate Transparency：証明書の透明性ログ）等の最新PKIトピックが出題され始めている。基本情報技術者試験ではRSA暗号の鍵交換の仕組み・Diffie-Hellman鍵交換・ECDSA・TLSハンドシェイクの詳細プロセス・CRL/OCSPの動作・CT（RFC 6962）の仕組みまで問われる。

選択肢の発展補足

「信頼の輪（Web of Trust）」（選択肢b）はPhilip Zimmermann（Phil Zimmermann）が1991年にPGP（Pretty Good Privacy）で実装した非階層型の信頼モデル。中央集権的なCAに依存せず、信頼できる友人・知人の公開鍵に電子署名することで信頼ネットワークを形成する。GnuPG（GPG）プロジェクトで現在も維持されており、オープンソースコミュニティ・メール暗号化で使われる。PKIの階層型信頼（ルートCA起点）とWebof Trustの分散型信頼という2つの異なるモデルは、中央集権的管理と自律的管理というトレードオフを体現する。ブロックチェーンはWebof Trustの分散型信頼を非対話的に実現する技術として位置づけられることもある。「秘密鍵の安全な公開」（選択肢d）の矛盾については、公開できる情報は公開鍵のみで、秘密鍵は決して公開してはならない（暗号システム全体の崩壊につながる）という非対称暗号の根本原則として確実に理解しておく必要がある。