PR

 筆者は,10年以上にわたり,複数の顧客向けに電子認証局関連,および電子証明書を用いてユーザー認証を行うWebシステムの開発,および運用を行ってきた。電子証明書は,運用方法によってはエンドユーザーにとって扱いにくくなるケースも多く,予想外の問題とケースもある。今回はその経験の中から,何件かの事例について,現場の対応を含めて紹介してみたい。

 「あるお客様が,電子証明書でWebサイトにアクセスしたら,証明書エラーの画面が出て,サービスを受けられないとおっしゃっています。システムに問題はありませんか?」

 筆者が開発・運用に携わっているWebシステムを利用して法人の顧客向けにサービスを提供している,ある企業からの問い合わせが入った。

 そのシステムでは,サービスの提供を希望する顧客に対して,その顧客が確実に存在することを審査した上で,顧客1人に対して1枚の電子証明書を発行している。電子証明書の用途としては,Webサーバーとブラウザ間の暗号化通信やWebサイトの正当性の確認に用いられるサーバー証明書が一般に知られているが,ここで発行されるのはクライアント証明書と呼ばれる個人を識別するための電子証明書である。

 顧客は,電子証明書をダウンロードするWebサイトにアクセスし,ブラウザに自分のクライアント証明書をインストールした上で,そのブラウザを使ってサービスを提供しているWebサイトにアクセスする。電子証明書には,顧客企業の企業名,担当者の氏名やメール・アドレスが記載されているが,それらが変更された場合には,古い証明書を失効,つまり使えなくした上で,新しい証明書を発行している。このように,有効な電子証明書と顧客が厳密に1対1に対応している。

 Webサイトでは,アクセスしてきた顧客のブラウザにインストールされた電子証明書の情報がWebサーバーに提示され,Webサイト側に保持している顧客の情報と照合することで「どの顧客がアクセスしているのか」「その顧客はアクセスが許可されているのか」「その顧客に提供すべきサービスは何か」を判断するのである(図1)。

図1●クライアント証明書によるアクセス制御の仕組み
図1●クライアント証明書によるアクセス制御の仕組み

調査開始

 筆者らのチームは,問い合わせを受け,直ちにシステムの状況を確認した。

 当時,そのシステムを構成するハードウエア,および筆者らのチームが管理している範囲におけるネットワークについては,共に障害は全く発生していなかった。また,問い合わせをした顧客以外は,そのシステムに対して電子証明書を用いてアクセスが可能であり,正常にサービスが受けられていることが,各種のログからも確認できた。どうやら,正常にアクセスできていないのは,当該の顧客だけのようである。

 一方,システムのデータベースに登録されている該当の顧客に関する情報を,管理者用の画面から確認したが,こちらでも特に不具合は発見されず,本来であれば正常にシステムにアクセスができる状態であることが判明した。

 以上のことから,システム側には特に問題はなく,顧客側のPCあるいはネットワークの問題である可能性が高いものと思われた。

 実はこのような問い合わせは,割と多い。一般のユーザーは,電子証明書の取り扱いに不慣れな場合が多い。そのため様々な問題が発生するのだが,経験上,いくつかのパターンに分けられる。顧客側での問題であれば,それらのパターンのいずれに該当するのかを切り分けるため,顧客から情報収集しなくてはならない。

 「システム側には,特に問題は無いようです。お客様に次の点をご確認いただけますか?まず…」

電子証明書でWebサイトにアクセスできないユーザー側の原因

 顧客側のPCあるいはネットワークの問題と言っても,対象範囲は広い。もし,顧客が利用しているPCの故障や,プロバイダでの通信障害などであれば,管轄外である。

 今回の問い合わせの場合,顧客側では証明書エラー画面が表示されたとのことだが,このシステムでは,証明書によるアクセスが認められない場合には,その旨を伝える画面をWebサーバーから表示させるようにしている。

 このことから,少なくとも顧客のアクセスはWebサーバーまでは到達し,Webサーバーからのエラー画面を正常に表示させていることになる。顧客のPCの不具合や,顧客からWebサーバーまでの間におけるネットワーク障害ではないものと推定された。

 残る原因としては,顧客のブラウザが,サービスを受けられる正当な電子証明書をWebサーバーに対して提示できていないというものである。その原因としてよくあるのは以下である。

(1)顧客のブラウザに電子証明書が正常にインストールされていない
(2)顧客の電子証明書の有効期限が切れていた
(3)電子証明書がインストールされていないブラウザでアクセスした
(4)適切な電子証明書が選択されなかった

 次回は,これらの原因に関して個別に説明していく。

大木 直人
ネットワンシステムズ 営業推進グループ ソリューション本部 エンジニアリングサービス部 副部長
2005年11月ネットワンシステムズ入社。前職より主として電子認証局関連のウェブアプリケーションシステムの開発および運用業務に従事。博士(工学),情報処理技術者(プロジェクト・マネージャ,アプリケーション・エンジニア)。