クライアント証明書とは、システムへのアクセスや情報交換を行う人や組織の身元を認証する電子証明書(デジタル証明書)です。一般に、ユーザが使用するPCやタブレット、スマートフォン等の端末にインストール(格納)して、サーバと通信する際にクライアントが提示するものとして使用されます。
クライアント証明書の用途は、大きく2種類に分けられます。
第1はアクセス コントロールです。重要な情報やアプリケーションを格納したシステムの安全性を確保するため、そのシステムにアクセスするユーザの身元を確認するために使用します。一般的なシステムのユーザ認証は、ユーザIDとパスワードを組み合わせて行いますが、パスワードは漏洩の可能性があり、十分なセキュリティを確保できない危険性があります。これらにクライアント証明書を追加することで、よりセキュアなアクセス コントロールが可能になります。たとえパスワードが漏洩したとしても、クライアント証明書が格納された端末(ユーザが所有する端末)からのアクセスでなければ、認証が通らないからです。このように「ユーザが知っているもの」と「ユーザが所有するもの」の2つの要素を組み合わせた認証方法を、二要素認証と呼びます。
第2は電子メール等の文書に対する署名と暗号化です。電子メールは送信元を簡単に偽装できるため、送信元のアドレスだけで送信者本人だと判断するのは危険です。悪質な電子メールを受信して文面に含まれるリンクをクリックし、フィッシング詐欺に遭う可能性もあります。このような問題を回避するには、クライアント証明書によってメールの暗号化と電子署名を行う「S/MIME(Secure / Multipurpose Internet Mail Extensions)」の活用が有効です。これによってメール送信元が本人であることを保証でき、通信経路上での盗聴も防止できます。
F5が提供する「F5 BIG-IP Access Policy Manager(APM)」は、安全なリモート アクセスを実現するための一手法として、クライアント証明書によるユーザ認証をサポートしています。