www.youtube.com 情報処理安全確保支援士試験の過去問である令和6年春期午前II問6を題材に、サクラ先輩と一緒にCRLの謎を解き明かすセキュリティ解説動画です。デジタル証明書の基本から、有効期限や失効の仕組み、引っかけ問題の対策、そして最新のトレンドまでを図解でわかりやすく解説しており、試験対策はもちろん現場で役立つ知識も身につきます。 本動画で学習すべき重要なキーワードについて説明します。まず初めに押さえておきたいのがX.509です。これはデジタル証明書の標準仕様を定めた規格であり、デジタルの身分証明書のフォーマットと言えるものです。名前や有効期限、発行元の署名がどこに記載されるかといったルールを定めており、問題を正確に読み解くための大前提となる基本用語です。次に、主題であるCRLについてです。CRLはCertificate Revocation Listの略称で、証明書失効リストと訳されます。これは有効期限が来る前に無効となった証明書のシリアル番号が記載されたブラックリストの役割を果たします。例えば、秘密鍵の紛失や盗難、あるいは従業員の退職などの理由で、本来の期限より前に証明書を無効にする必要が生じた際にリストに追加されます。CRLは全ての証明書を載せるホワイトリストではなく、悪いIDだけを載せる出入り禁止リストであるため、失効したものだけが記載されます。また、CRLにシリアル番号を掲載しておく期間について、失効後1年間といった決まりはありません。その証明書の本来の有効期限が切れるまでリストに載せ続ける必要があります。有効期限が過ぎればブラウザ側で期限切れとして自動的に拒否されるため、CRLから削除しても安全が保たれる仕組みです。さらに、現代の運用におけるトレンドとしてOCSPという技術があります。OCSPはOnline Certificate Status Protocolの略で、巨大化しがちなCRLファイルをダウンロードする代わりに、リアルタイムで証明書が有効かどうかを問い合わせるプロトコルです。これにより、CRLのファイルサイズ肥大化やダウンロードが遅いといった課題を解決します。あわせて、短命化する証明書という概念も重要です。証明書の寿命を90日や7日など極端に短くし、自動更新していく運用手法です。仮に鍵が盗まれても数日で自然に期限切れとなるため、CRLへの依存度を大幅に下げることができるメリットがあります。これらのキーワードの背景にある、なぜ失効させる必要があるのかという理由をしっかりと理解することで、試験問題の正解が自然と見えてくるようになります。