第1回 電子署名で何が変わる?
池谷千尋 ネットマークス 2001/10/4 |
|
●連載のはじめに
電子署名法(正式名:電子署名及び認証業務に関する法律施行規則)は、「電子署名に関し、電磁的記録の真正な成立の推定、特定認証業務に関する認定の制度その他必要な事項を定めることにより、電子署名の円滑な利用の確保による情報の電磁的方式による流通及び情報処理の促進を図り、もって国民生活の向上及び国民経済の健全な発展に寄与することを目的とする」ために制定され2001年4月に施行された。
これにより、ブロードバンドなどのネットワーク基盤にセキュリティ基盤と法的基盤が加わり、ネットワークを通じた電子商取引(EC)や行政処理などが促進されることとなるだろう。
この電子署名法の成立の前提の1つとなっているセキュリティ基盤が、PKI技術だ。そこで、電子署名法に基づくビジネスを考えている方を想定して、実際に電子署名システム導入のために必要なノウハウを数回にわたり解説していく。
本連載が、これからPKIの導入を提案される立場の方、まさにいま構築しようと考えている方の参考になれば幸いだ。
電子署名で何が変わる? |
PKIとか電子証明書という言葉がニュースに登場するようになって2〜3年ぐらいたつだろうか。日本においても2001年4月に電子署名法が施行され、2001年がPKI元年といわれて電子証明書の普及が急速に進むのではないかと期待された。しかし、いまだ電子証明書の利用が広く普及したという印象はない。もちろんこれは、この記事を書いている時点(2001年9月現在)での話ではあり、電子政府の実現目標である2003年ごろには状況も変わっていることと思う。まだ普及していないのは、電子証明書を何に使ってよいのか分からないのが根本原因だ。
PKIという言葉は知っているが、電子証明書とどういう関連があるのかという漠然とした疑問をお持ちの方はおられると思うし、さまざまな業界の方に関心を持ってもらえれば利用が促進されることと思う(@ITリアルタイムアンケート:PKIを知っていますか? )。
すでに、いくつかの記事でPKIの解説が紹介されているので、ここでは概念や理論はさておき実際に会社の業務などを想定したビジネスシーンにおいてどのように利用されるかという点と、導入を検討するうえでの予備知識を解説していきたい。
図1 電子署名とデジタル署名の関係*1 |
|
ビジネスインフラとしてのインターネットの問題点 |
デジタル署名の仕組みが必要になってきた背景にはインターネットの利用が普及し、利用形態や目的が多様化してオンラインでの取引などの用途も加速度的な勢いで伸びてきたことがあげられる。そして、企業間取引への利用──仕入先とのSCM(Supply Chain Management)や、企業および個人対個人の取引──オークションやインターネット上での商品売買などが活発化し、インターネット上で身分を明かす必要が出てきた。
このようにオンライン取引をインターネット上で利用する人が増え続けており、最近のブロードバンドの普及により家庭でもパソコン+インターネット環境が普通になってきている。
ここでもう一度、インターネットの特徴と問題点を述べておこう。
まず初めにインターネットを普及させてきた要因には数々あると思うが、この2点が利用の促進に少なからず寄与してきたことは間違いないだろう。
(1)利便性
- 場所の自由(コンピュータとインターネットにつながる環境さえあればどこでもOK)
- 時間の自由(オンラインショッピング、BBS、メール、etc)
(2)匿名性
- 相手に顔が見えない
- 匿名性が高く投稿や電子メールの送信元などの発信者を突き止めにくい
対面ではない気安さが利用を後押ししていることは否めない事実である。他方、匿名性からくるマイナス面として、商品売買のネット詐欺やクレジットカード詐欺といった犯罪が増加してきている。売り手、買い手ともに相手が誰か分からないままの商売が強いられているのが現状であり、これに対する対策が求められているのである。
デジタル署名はなぜ必要か |
その解決手段の1つとしてインターネット上の身分証明書の利用が提案されている。
リアル世界での証明書というと、公的機関が発行するパスポート、運転免許証、保険証などと、私的な組織が発行した社員証、学生証などがある。
コンピュータの世界、特にインターネットの世界では身分証明書としてデジタル証明書がその役割を果たす。インターネットの利用が単に情報の発信/収集だけでなく取引、申請に利用されるようになってきたため身分証明書の役割が必要になったのである。
こうした問題点を解決する手段として、デジタル署名の利用が提案されており、取引や申請の際には電子データの交換に対して (1)意思表示(印鑑/サイン)、 (2)認証(身分証明書)の用途でデジタル署名を用いることができる。
●印鑑/サイン
これは本人しか持ち得ない(印鑑)または本人以外が行えない印(サイン)を残すことにより意思表示を確認するものである(“真正な成立の推定”)。
●身分証明書
身分証明書の役割は、本人性の確認である。学生や会社員であれば所属する組織の名前や印鑑と本人の証明のために写真が貼ってあるのが通常である。デジタル証明書も同様に発行者(認証局の署名)と本人の公開鍵が埋め込まれ、身分証明書として利用される。
身分証明書としての信頼性は、公開鍵暗号の解読・偽造が技術的に困難であることと、発行機関が本人の確認を正しく行い、利用者本人にデジタル証明書を確実に発行する仕組みなどがあるが、人的要因も非常に大きくかかわる*2。
|
◇
デジタル署名の役割をまとめてみると「認証/なりすまし防止」、「意思表示」の2つということになる。
ここで、PKIについてご存じの方は「あれっそれだけ?」と思われるに違いない。実は、電子署名法で定められている法的な効力は署名に関する利用だけなのである。*3
|
電子署名法とGPKI |
GPKIとはGovernment Public Key Infrastructureの頭文字を取ったもので、政府が運営する公開鍵基盤(PKI)のことである。このGPKIと、2001年4月より施行された電子署名法とは密接に連携しており、電子署名はGPKIなしではあり得ないものとなっている。
●電子署名法の意味するもの
電子署名法により電子署名がある電子申請や商取引、契約などが法的に効力を持つことを意味する。
図2 電子署名法の目的 |
●GPKIの目的
電子署名法の中でGPKIとの関連について述べると、GPKIは電子政府を実現するための1つの手段であることに注目してもらいたい。GPKIとは手段であって目的ではないことにご注意いただきたい。
●電子署名とPKI
最初に電子署名法は電子署名技術の利用に関してPKIに限定したものではないことを述べたが、いまの時点では電子署名を実現できる技術はPKIだけである。しかしPKIには電子署名の用途のほかにも、公開鍵暗号を利用したさまざまな利用場面がある。デジタル証明書を用いて“できること”について本来の暗号化への利用も含めて紹介していこう。
●PKIの用途
おのおのの利用場面でどのように利用されているのか、用途別にどの技術が応用されているのかを表したのが下表である。
|
||||||||||||||||
表1 PKIの用途とその実用例 |
単純にどの技術がどの目的に使われているというのではなく、組み合わせで機能している例が多い。
|
電子署名によって実現するもの |
では、電子署名を活用することによりわれわれの身の回りに起こりうる変化についてどんなものが考えられるだろうか? PKIを応用したソリューションには下図のようなものがある。
図3 PKI応用ソリューション |
●電子商取引
現在、電子商取引で扱われているアプリケーションの中心はWeb上でHTTPSを用いたトランザクションだが、XMLデータエクスチェンジを用いることにより、より広い分野での利用が期待される。
●電子申請
GPKI(政府認証基盤)は、電子申請を実現するために作られた。政府/行政機関への許認可、申請業務のオンライン化を電子署名が実現する。
PKIを利用するには |
PKIを利用するには最初に何をしたらよいのだろうか?
デジタル証明書を利用して何をしたいのかをまず決める必要があるが、どのような観点からPKI導入を検討していけばよいかを考えてみたい。
●導入の検討
Step1.利用モデルの明確化
利用目的 | デジタル証明書を利用してメールの送受信をセキュアにしたい 会員向けのWebサイトで認証と通信経路の暗号化を行いたい EDIシステムの認証と通信経路の暗号化および意思表示としての署名を行いたい |
用途 | 認証(Webシステム) 署名(XMLデータの署名) |
Step2.対象範囲の決定利用モデルの明確
対象 | デジタル証明書利用対象者 |
デジタル証明書信頼者の対象範囲 |
Step3.コスト/利益の把握
ヒト・モノ・カネ | 設備要件 技術要件 運用要件 |
収益構造 | デジタル証明書のコストを負担するのはどこか? 利益はどこであげるのか? |
●認証局(CA:Certificate Authority)の選定
上記のような導入検討を進めていくうえで結局問題になるのは、だれがだれを(何を)信頼するかということである。一見、公開鍵暗号を応用したシステムということで、技術的な要素ばかりが注目されがちであるが、一番重要なのは人間が行う部分を中心とした運営システムである。
図4 肝心なことは技術要素だけではなく人間系要素である |
●導入とその検討要素
そして、PKI導入を決定するうえで一番の決め手になるのがコストや利用目的および用途であり、それらが決まればどのようなデジタル証明書を持てばよいのかが明確になる 。
現在、PKIを利用する場合は以下のような形態から選択が可能である。
(1)インハウスで認証局を自営する
自社で認証局を構築し運営までを行う。
(2)アウトソース利用
認証局の構築や運営は外部にアウトソースする。
(3)第三者機関のデジタル証明書発行サービス利用
第三者機関の発行するデジタル証明書を利用する。
各方式の特徴とサービス構築の工程を整理すると以下の表のようになる。
|
||||||||||||
表2 利用サービス形態による必要な工程〜証明書利用モデルに合ったサービス構築 |
●コスト
PKIの利用を考えている方の最大の関心事はやはり、「ではいくら必要なの?」ということになると思うが、定価のない世界である。PKIは文字どおりインフラである。例えば、「50人のオフィスをネットワーク化したい」といったときに、ある人はHUBと各PCにネットワークインターフェイスカードを挿せば事足りると思って「30万円ぐらい」というかもしれないし、またある人はインターネットの接続も必要だしそうなるとファイアウォールも必要になると思って「300万円くらい」ということもあるだろう。これはPKIにも同じことがいえる。とはいえ、こういっては身もふたもないのでコストを考えるために必要な要素を考えてみた。
(1)PKIシステム
PKIを構築するソフトウェア費用
ハードウェア
(2)ファシリティ
サーバ室、IA(発行局)/RA(登録局)の配置
ネットワーク機器/回線
(3)運営
CA(認証局)/RA/IAの各役割の運営コスト
運営要員
(1)に関してはイメージしやすいと思うが、(2)および(3)に関してはどうだろう? ファシリティ要件を考えた場合には自分で適当な場所を持っていない場合は、iDCなどのスペースを借りたり、極端な場合は建物を造らなければいけないし、高いセキュリティレベルを必要としなければサーバルームの一角でもよい場合もある。
運営にかかわる人的資源を考えると、GPKIの特定認証業務のような非常に厳格な運用を行う場合では15〜20人体制が必要になる場合もあるし、社内イントラ利用であれば1人か2人いればよい場合もあり、サービス要件によってまったく異なる。全体コストの中で運営費用にかかる部分が非常に大きく、また変動要素も大きい。
最後に、非常に乱暴ではあるが費用の目安をそれぞれ示してみた。これは最小限の構成であり、実際にはこの金額では収まらない場合が多いだろう。さらに、運営のためのコストが必要な点にご注意(自動車でいえば最低グレードのオプションなしといったところ)。PKI導入を検している皆さん、予想とは大きくかけ離れていますか。
●初期構築費用の目安
(1)自営の場合(100ユーザー)
ソフト+ハードウェア | 300万〜1000万円 |
運営要員 | 最低でも数名(5人程度) |
(2)アウトソース利用
ホスティング利用の場合 | 100万円以上 |
運営要員 | 最低1人以上 |
(3)第三者発行サービス
クライアント証明書 | 3000円〜1万円/1人 |
Webサーバ証明書 | 7万〜10万円/1台 |
では、次回からあるモデルを想定してPKI導入を検討してみたい。
Security&Trust記事一覧 |
|
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|