                                                                              
Title: moCA WGの2003年度の活動概要
Author(s): 木村泰司
Date: 08/16/2004

▼Copyright Notice

   Copyright (C) WIDE Project (2004).  All Rights Reserved.

▼活動概要

　moCA WGでは、CA(Certification Authority)の振る舞いや証明書の扱い
に注目し、オンラインCAである moCA(members oriented CA)の運用実験を
行なってきた。
実験ではICAP(ICAT CA Package)を用いたオンラインCAの運用を行ない、
必要に応じて証明書の発行・失効・更新を行ない、また利用環境や用法に
関する情報交換を行なっている。

　2003年度は2002年度に引き続いて、WIDEメンバ証明書とサーバ証明書を
発行する運用業務を行なった。ただ6月末のWIDEメンバ証明書の再発行と、
サーバ証明書の更新を除いて、moCA自身を対象とする実験は行なわれな
かった。
一方で、サーバ証明書の利用場面がこれまでに比べて拡大した。サーバ
証明書の発行業務はこれまでにも行なっていたが、証明書の内容を利用
したアクセスコントロールを実際のサービス運用の為に利用したり、
検証者をWIDEメンバに限定しない用途に利用したりする場面が現れた。

　次に利用場面について列挙するとともに、各々の場面で証明書(特に
クライアント証明書)を利用した人数や件数について紹介する。

▼moCAが発行したサーバ証明書の応用

　・Internet Conference 2003 の参加申し込み (2003年6月)

　　　WIDEメンバ以外のWebのユーザが参加申し込みを行なう可能性が
　　ある場面である。WIDEメンバ以外のユーザが、WIDE Root CAを
　　トラストポイントにしている状況は想定することができない。
　　　そのため、Webブラウザを用いてアクセスしたときに表示される
　　ダイアログの意味や、fingerprintを確認する方法について説明
　　する必要があった。また、単に同一のPKIドメインを想定できない
　　だけでなく、ユーザのニーズや理解度が予測できないため説明文
　　を工夫する必要があった。
　　　申し込みを行なった72名のうち、httpsのユーザは52名であった。
　　またhttpsのユーザのうち、半数以上がWIDEメンバではなかった。

　・合宿の参加申し込み (2003年9月)

　　　WIDEメンバ証明書を利用してアクセス者の識別を行なう場面で
　　ある。証明書の内容(WIDE番号)を利用してアクセス者の識別を
　　行なった後、過去に入力されたデータを呼び出すといった入力
　　補助を行なう。
　　この利用方法は例年行なわれてきたもので、現在では、認証時に
　　証明書を持っている人には証明書の提示を求め、証明書を持って
　　いない人にはパスワード入力を求めるという、切り替えが自動的
　　に行なわれる形で利用されている。
　　　今回は、283名の参加者のうち 262 名がWIDEメンバ証明書を使っ
　　て申し込みを行ない、証明書利用率が 90% 以上となった。

　・12月研究会の記入式アンケートでの活用 (2003年12月)

　　　WIDEメンバ証明書を利用してアクセス者の識別を行なう場面で
　　ある。環境変数を用いて、証明書の内容(WIDE番号)をCGIのプロ
　　グラムで読み込む方法に関する情報交換が行なわれた。
　　　アンケートの回答数64件のうち、48件がWIDEメンバ証明書を使っ
　　てアクセスされて回答されたものであった。

　・two WGの管理者用情報共有サーバでの利用 (2002年9月より)

　　　two WGにおける情報共有サーバで、アクセスコントロールの
　　ためにWIDEメンバ証明書が利用されている。
　　　クライアント認証の結果に応じて、ページの内容を切り替える
　　機能やクライアント証明書が利用できない場面でのパスワード
　　方式への切り替えなど、様々な機能が実装されている。WIDE
　　メンバ証明書が利用できる場合には、その内容を利用したアク
　　セスコントロールが行なわれる。
　　　このサーバで、クライアント認証が必須とされた2002年9月11日
　　以降、121のクライアント証明書が利用されている。なおtwo WGに
　　登録されているメンバは137名であり、多くのメンバがWIDEメンバ
　　証明書を利用していることがわかる。

　・(pg)^3a WGのWIDE Hourでの利用 (2003年9月より)

　　　(pg)^3a WGの運用しているWIDE Hourのサーバで、アクセス者の
　　識別を行なうためにWIDEメンバ証明書を利用することができる。
　　　運用が開始された2003年9月の合宿期間から2003年12月31日まで
　　に1058回とログインが発生しており、このうち872回がWIDEメンバ
　　証明書を利用していた。また、ログインしたことのある166名の
　　うち128名がWIDEメンバ証明書を利用していた。ここでも多くの
　　メンバがWIDEメンバ証明書を利用していることがわかる。

▼証明書の利用場面拡大とmoCAの今後の課題

　様々な場面で、クライアント証明書(WIDEメンバ証明書)の利用者数が
増えている一方、moCAとしての課題も挙がってきている。
　WIDEメンバ証明書の有効性を即時に判断できるようにするには、CRLの
即時発行を始めとする運用体制の改善が必要である。また認証技術を
より高度に活用するためには、証明内容の参照に留まらずに発展した実験
活動が必要である。これらは前回の合宿において挙げられた課題であるが、
未だ実現できていない。いずれもmoCA WGにとって急務である事項なので、
早急に取り組む必要がある。

　また今後は、moCAが発行した証明書の、より正確な利用者数がわかる
ような準備があることが望ましいと考えられる。これには証明書利用者
に対する、統計情報収集への協力の働きかけなどが考えられる。