GPKI

社会

GPKI

じーぴーけーあい

GPKI(Government Public Key Infrastructure)とは、政府が運営する公開鍵基盤PKI)の事。政府認証基盤とも呼ばれる。

政府が提供するルート証明書によって構築されるPKIであり、電子政府の要となっている。

2015年現在のGPKIの問題点

GPKIの提供するルート証明書のうち、Japanese Goverment発行のApplicationCAのルート証明書については既にMozillaのNSS証明書ストアに取り込まれているが、ApplicationCA2のルート証明書に関しては2017年までNSS証明書ストアに取り込まれる見込みが無く*1 *2 *3Firefox等のMozillaブラウザにおいて、またLinuxや各種BSDその他のOSにおいては他ブラウザでもデフォルトの状態では証明書エラーが発生する状態になっている*4

これについて2015年6月現在、ApplicationCA2のルート証明書ブラウザに取り込むにはhttp://www.gpki.go.jp/apca2/index.htmlの「アプリケーション認証局2(Root)の自己署名証明書」から手動で取り込む必要がある状況になっている*5

*1総務省行政管理局行政情報システム企画課の初動の遅れとMozillaの証明書に関するポリシーへの違反とそれにゴネた事から相当の遅れが生じてしまっている。(参考:870185 - Add Renewed Japanese Government Application CA Root certificate

*2:2013年にはこの問題でFirefoxハローワークに接続出来ない等の大規模な問題が発生した。(参考:GPKI(政府認証基盤)の対応遅れにより、Firefoxでハローワークなどのサイト閲覧時に警告が表示される事態に | 財経新聞 なお、問題は現在も解決しておらず、ハローワークはこの問題の解決のためGPKIの使用を中止し、現在はVeriSignの証明書を使っている。)

*3政府広報では平成29年(2017年)1月からマイナンバー制度のポータルサイトマイナポータル」が始まるとしているが、おそらくこれに間に合わない。参照:特集-マイナンバー | 政府広報オンライン

*4:これらの環境においてはWindows及びiOSで配布されるGPKIルート証明書が利用できないため

*5:ここで取り込んだルート証明書のフィンガープリントの確認を行う手段が提供されていなかったが、2015年6月19日にhttp://www.gpki.go.jp/apca2/index.htmlからhttps://bugzilla.mozilla.org/show_bug.cgi?id=870185#c1へのリンクが張られ、EV-SSLで保護されたページで確認を行えるようになった。(それまではこれを取得する時には他PKIから隔絶した、循環した形のオレオレ証明書によって保護されるページから取得するという問題のある状況(信頼の連鎖が切れた対象を取得する)になっていた(この状態でe-Tax参照)、公安調査庁参照)、パブリックコメント参照)、最高検察庁参照)、登記供託オンラインシステム(参照)や多くのe-Govやその他政府官庁系のHPでApplicationCA2が使われていた事は記憶に値する。)。GPKIのApplicacionCA2ルート証明書についてはこれで一応の解決を見たが、地方自治体PKIであるLGPKIについては依然として同様の問題を抱えており、やはり日本の電子行政は危機的状況にあると言える。)