項目別バックナンバー[3]:ビジネス情報:57
電子署名
電子署名は、電磁的記録(電子文書)に付け加える電子的な証明である、それは紙文書における印章やサイン・署名に相当する役目を行う。
従ってその目的は、本人確認や改竄検出符号と組み合わせての偽造・改竄の防止の為となる。
電子署名は第三者機関によって審査され、そこでの認証がされないと付加できない、電子署名で付加されるものは短い暗号データとなる。
その為には数学的な暗号理論とそれを基にした具体的なデジタル署名方法の製作とそれの電子署名への発展が共に必要となる、それらをまとめた法的な仕組みで有る電子署名法の制定まで繋がる、科学技術的な根拠と、法律的な根拠で成立する事になる。
電子署名はインターネットなどで信頼できない経路を通じたメッセージの送受信で多く使用されるが、重要な文書の安全な保管目的にも同様に使用される、作成者の特定化での認証は、作成者が後に自分が作成した事を否定する事を防ぐ=否認防止証拠としても用いられる。
電子署名の必要性を整理しておくと、文書ではその作成者として文書に記載されている名前(作成名義人)があれば、文書が本当に作成名義人により作成されたかを証明される必要がある、紙の文書では通常はそこに書かれた署名や押された作成者印で判断される、だが電子文書には直接に印を押したり署名を書く事が出来ないので変わるものが必要となる。
文書の電子化・IT化は、電子文書の改竄を防ぎ同時に改竄された場合に検出する仕組みが必要となる、それは紙文書と同様に文書の用途により重要性が異なる、社内でのビジネス文書や重要性が薄いものから業務合理化を目指して電子化が進められて来た、そこに幾つかの電子サインが導入された。
特に重要な公文書に対しては、客観的な証明が必要であり、それの電子署名の実現方法としていくつかの製品が市場に登場したが大規模なシステムでかつ高価なシステムが多かった、その中から法制度の整備と公的な証明を含む電子署名が登場して整備されて導入されてきた。
対外的・公的な重要文書を証明する為の電子署名の実現方法としては、法制度や第三者の証明の仕組みは、必要性と費用効率とを含めて考えると、有効な方法だと言える。
電子署名の仕組みとしては、公開鍵暗号方式に基づくデジタル署名が有力であり、電子署名を用いた電子契約を普及させる為に法律が整備された、その一つが電子署名法だ。
電子署名法は2000年5月成立、2001年4月施行した正式名称は「電子署名及び認証業務に関する法律」だ、そこでは有効な電子署名について一定の要件を定めて、それに該当する電子署名が付された電子データに対しては紙の文書に署名・捺印されたものと同等の法的な証拠性を認めた。
併行して、署名が本人であることを証明する認証業務については、基準を満たした認証局がデジタル証明書を発行する業務を特定認証業務とした、その中でも厳しい基準を満たして、国や指定検査機関の審査を経て認定された認証局の業務を認定認証業務とした。
認定認証局は全国で十社程度が認定されている。
電子署名法の第三条は「電磁的記録であって情報を表すために作成されたもの(公務員が職務上作成したものを除く。)は、当該電磁的記録に記録された情報について本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)が行われているときは、真正に成立したものと推定する。
電子文書(電子契約)は、本人だけが行うことができる電子署名が行われていれば、真正に成立したものと推定する。」
条文の内容は上記であり、具体的な技術要件は総務省・経済産業省・法務省が共同で告示している、そこでは1024ビットRSAや1024ビットDSA、160ビットECDSAが挙げられている。
このうちRSAについては2048ビットへの移行が予定される、同様にこれらの署名方式に用いるハッシュ関数もSHA-1からSHA-2へ移行される。
電子署名方式には複数の方式が知られている、それぞれは数学的な理論から成立しており、その暗証強度も計算で予測されており実用化するビット数が計算されている。
代表的な電子署名方式として、RSA署名・ElGamal署名・DSA署名・Schnorr署名・Cramer-Shoup署名・楕円ElGamal署名・楕円曲線DSA署名・楕円Schnorr署名などが知られている。
RSA署名・ElGamal署名は、初期に登場した電子署名方式であり有名だが、その後に強度不足問題とか偽造可能だとかが判り、改良方式やその後に新しく登場した方式がとって変わり主流となっている。
実用する電子署名方式は、鍵生成アルゴリズム・署名(生成)アルゴリズム・検証アルゴリズムという3つのアルゴリズムから成り立っている、電子署名方式の強度は一番弱いアルゴリズムで決まるので、トータルで評価される事になる。
電子署名方式は偽造・改竄の防止をも目的とするので、文書に改竄検出符号を加えたり文書を符号化したりする、文書の符号化には文書のサイズを小さくする効果もある。
電子署名付き電子メールの利用例を考える。
電子メールソフトのための暗号技術を使ったセキュリティ機能にS/MIMEがあり認証・改竄防止・発信元の否認防止・プライバシーとデータの機密保護を提供する。
送信する電子メールには、セキュリティ向上のため送信元メールアドレスに電子署名(S/MIME証明書)を付加する、ただしS/MIMEに対応していない携帯電話あての電子メールについては、電子署名を付加しないで送信する事になる。
電子署名の確認方法はセキュリティ警告の有無で行えるが、警告が出たメールは不正な可能性が高い、同時に送信元のメールアドレスが正しいか確認する。
電子メール受信用ソフトウエアがS/MIMEに対応することが必要だが、S/MIMEに対応していない場合にはメール本文の表示以外に「smime.p7s」というファイルが添付される。
電子メール受信ソフトに受信拒否設定がされていると、受信自体が出来ない。
電子署名付き電子メールを運用開始する為には、発信側と受信側で登録作業を行う事が一般的で有り、その段階でのメールは電子署名を付加しないで送信する、例えば、・ユーザID確認用URL通知、・サービス利用停止完了通知、
・重要通知書類の申請や再交付受付完了通知 等がある。
ICカード
認証カードは本人確認方法と偽造対策と情報量確保が課題として持ちながら進歩して来た、通信回線を使用して大型コンピュータと結んでの本人確認と使用履歴確認が進み、同時に偽造対策ともなって来た。
磁気記録方式の認証カードは導入時から現在に至るまで広く使用されている、その間に小型・薄型のICチップを搭載したICカードが導入されて、次第に高い記憶容量が確保されると共に、通信方法の進化による情報量の増加とも重なりあい、用途の拡大が行われて来た。
磁気記録方式の認証カードは、期限付きで更新方式を取る場合(例えばクレジットカード)は磁気記録方式から、IC搭載記録方式を追加して併用するカードに更新されて来た、クレジットカードでは初期に使用されていたカード番号の立体刻印も今も継続している場合もある。
ICカードは偽造対策としても有効であり、携帯電話やスマートホンとの連携を取る事も可能であり、電子マネーとしての利用へも対応出来る、そして少額決済や端数金額決済やキャッシュレス決済の用途にも対応出来る事で用途が広がっている。
現在使用されているICカードの情報の読み書き方式には接触式と非接触式がある。
磁気記録方式は基本方式が接触式であり、高速アクセスを可能にする為に狭い隙間を介しての疑似接触方式もハードディスク使用されているがICカード用途ではそれ程には高速性は必要でない、その延長上のICカードは接触式を採用している、あるいは磁気記録方式と接触式ICカードを併用している。
接触型では、物理的な仕様とコマンドなどの論理面共に、必要最小限の必要な部分のみが国際規格 ISO/IEC 7816で標準化されている。
ISO/IEC 7816では最小部分のみを規格化しているので、採用するそれぞれの業界がサービスに特化した仕様を作成している。
日本ではISO/IEC 7816を元にして作成された日本産業規格 JIS X 6300 があるが、そこから業界毎の標準仕様として、JICSAP仕様や全銀協ICキャッシュカード標準仕様などが作られた。
非接触式ICカードはクレジットカード・キャッシュカードを中心に広く使用されている。
非接触型ICカードには国際規格ISO/IEC 14443がある。
非接触型ICカードは、カードとカードリーダーあるいはライター機器との通信する距離の違いに従い、「密着型」「近接型」「近傍型」「遠隔型」の4種類に分類されている、その中の「近傍型」では「Type A」「Type B」に分類されている。
通信時の情報漏洩対策面からは「近傍型」が注目されてきたが、同時に実用化も進んで来た、例えばオランダのフィリップスや米国のモトローラが開発し規格が有名だ。
日本ではソニーが開発したFeliCamを国際規格を目指して提案した来たが、結果的には後に海外メーカーとの上位通信方式がISO/IEC 18092 として標準化された。
日本では標準規格としてJIS X 6321 - 6323が制定された、そこから特定用途向けの規格に採用されて行き、住民基本台帳カード仕様 (Type B)や、日本鉄道サイバネティクス協議会でのFeliCaの技術を使ったICカード乗車券規格(サイバネ規格)が普及してきた。
日本では磁気記録式カードがプラスチックのクレジットカードやキャッシュカードとして登場した、紙の使い捨てタイプとしてテレホンカードと交通カードが普及して他にもインターネット用マネーカードや図書カード等の商品券カードやポイントカードが登場した。
現在でも継続使用もあるが、ICカードへと変わった用途が多い、そしてICカードも含めて用途が終えたものもある。
日本でも公衆電話用のテレホンカードが使い捨て磁気カードで登場して普及した、普及する事で偽造カードが現れたので色々と対策が行われたがその一つがICテレホンカード(ICテレカ)の導入であり同時にICカード式公衆電話も導入された。
当時はインターネット通信は電話回線を使用したので対応公衆電話もあった、だがその後に公衆電話は携帯電話に取って代わられた為にプリペイドカードの利用は減少した、NTTは2005年に利用者の減少理由でICテレホンカードとICカード式公衆電話の廃止を発表し、2006年にすべて撤去し一部のみを磁気カード式公衆電話として残した。
ICカードは電子マネーにも使用され、日本では電子マネーサービス「Edy」や「セーフティパス」が登場した。
だが日本でのICカードの大きな普及は、鉄道用を中心にした交通カード用途だった、使い捨て磁気カードから登場した自動改札システムは普及し次ぎに非接触型ICカードの交通カードが登場し、使用量・用途共に拡がっている。
キャッシュカードとクレジットカードやプリペイドカードのメディアが磁気カードからICカードへの切り替えが進められて来た。
日本では、クレジットICカードは2001年から、パチンコ用プリペイドICカードは2000年から導入された、それに続いて、2004年からキャッシュカードのICカード化が始まっている、日本国内発行のクレジットカードについては、ICカード化・カード決済端末のIC対応化を、割賦販売法の改正により2020年までに完了させる予定だ。
その理由は、スキミングなどのクレジットカード不正使用が急増して、その対策として従来型の磁気カード決済を廃止してIC又は非接触決済へ変更する事が急いで必要となっている。
2015年10月に、セキュリティの高いICチップ対応の信用照会端末を設置しない場合での不正使用被害がクレジットカード保証会社の損害保証対象外となりカード加盟店の自責扱いとなる制度変更があった、それがIC対応化を進める事とにもなった。
日本においてはキャッシュカードとクレジットカードのICカード化とは別に、独自の展開が行われたのが携帯電話(従来型)アプリケーションとしての「おサイフケータイ」であり、その機能はNTTが提供した。
他の携帯事業者のauとボーダーホン(現・ソフトバンク)もそれに続いて同じ機能を提供した、「おサイフケータイ」の機能には非接触型ICカードFeliCaが使用された。
鉄道分野では「汎用電子乗車券技術研究組合」が設立されて技術検討が行われ、その後に2000年にICカードを利用した乗車券の規格(サイバネテックス規格)が定められた。
鉄道では磁気記録方式の接触型のカードによる自動改札システムや、切符等の発券システムが導入されて普及していた、ICカードを利用した乗車券の規格が作られた事で、その後にJRや私鉄などでICカードの導入が進んだ。
交通用ICカードは項を変えて取りあげる。
