電子商取引を安心して行う為には −電子認証の仕組みとその利用− 電子商取引推進協議会 1. はじめに電子商取引を行う上において、データが途中で盗み見されて改竄されてはいないか、取引相手が信頼できる相手か否かといった不安を感じる事は誰しもあるものである。この不安を払拭し、安全性と信頼性の確立を行うことが、電子商取引の発展には不可欠な事である。今回は電子商取引を安心して行う技術として最近新聞紙上等で目にすることが増えてきた電子認証について、その仕組みと利用形態、分野等について解説する。 2. 電子署名と電子証明書 (1)電子署名の必要性インターネットを使って電子商取引を行う場合、発注側のデータが途中で改竄されると、発注側の意図したデータが正確に受注側に伝わらないばかりか、受注側は受け取ったデータを発注側の正しいデータと勘違いして受注処理をしてしまう可能性がある。このような被害を防ぐ為に、電子署名(デジタル署名)が必要になる。図 1 によりその仕組みを説明する。図１電子署名と電子証明書の役割 A さんは、まず、秘密鍵と公開鍵の鍵ペアを作成する。ここに、秘密鍵とは、A さんのみが大切に保持し他人に公開することのない鍵であり、公開鍵とは広く一般に公開する鍵である。次に、ハッシュ関数という関数により電子文書からある値を作り出し(ハッシュ値) これを秘密鍵で暗号化する。この暗号化の行為が、デジタル署名の生成である。もちろんハッシュ関数という物を使わず、電子文書そのものを秘密鍵で暗号化する事も構わない。このようなデジタル署名を可能にする市販のソフトウェアも販売されており、電子メールやインターネットショッピング、企業間取引においてデジタル署名は利用され始めている。以上のようにデジタル署名を行った A さんは、電子文書とデジタル署名を一緒に B さんに送る。B さんは、受け取ったデジタル署名を、一般に公開されている A さんの公開鍵で復号化する。この復号化によりハッシュ値が生成される。また、一緒に送られた電子文書からハッシュ関数によりハッシュ値を作り出し先程のハッシュ値と比較する。この行為がデジタル署名の検証である。この二つのハッシュ値が一致することにより、データが途中で改竄されていいないこと(完全性)を確認することができる。また、おそらく A さんが送って来たであろうことを確認することができる。 (2)電子証明書の必要性ところで、発注者とは関係のない悪意のある人(仮に C 氏とする)が発注者に成りすまして取引をしょうとしたらどうなるであろうか。この場合、C 氏が秘密鍵と公開鍵のペアを作り、自分は A さんだと偽って、B さんにデータを送り、B さんは一般に公開されている C 氏の公開鍵を A さんの公開鍵と信じきって、データの検証を行うのである。これを防ぐ為には入手した A さんの公開鍵が、A さん自身の物である事が何らかの形で証明されていなければならない。この為に必要なのが、電子証明書である。図 1 に示すように、A さんは生成した公開鍵を、認証局(CA)に送り公開鍵証明書(電子証明書)を発行してもらう。これにより A さんが届け出た公開鍵が A さん自身の物である事が証明されたことになる。A さんは、「電子文書＋デジタル署名」に電子証明書を加えた、3 点セットを B さんに送付する。証明書は実は有効期限があるものなので、B さんは証明書失効リスト(CRL)という物でその有効性を確認する。そのあと、詳しい事は省略するが、認証局(CA)の公開鍵を使って、受け取った A さんの公開鍵証明書が A さんの物である事を検証する。これで初めて公開鍵証明書から A さんの鍵を取出し、安心して前述の署名検証というプロセスに移れるのである。以上の電子認証システムを支える基盤は、PKI(公開鍵基盤)とも呼ばれている。 3. 電子認証の利用形態と分野それでは、このような電子認証の仕組みはどのようなところに使われているのであろうか。身近な例では、電子メールやインターネットショッピングにおけるデータのやり取りで必要に応じて使えるように、メールソフト等にはその機能が組み込まれ始めている。先進的な企業においては企業内の社員に対して証明書を発行することは良く見られることであるが、その他にインターネット上における企業との取引においてもこのような仕組みが使われ始めている。例えば、日本、アメリカ、西ヨーロッパの主要銀行が Identrus という仕組みを作り、独自に銀行向けに電子証明書を発行するなど銀行業界で利用されたり、貿易金融 EDI(TEDI)において電子証明書が発行されたりする他、証券業界、保険業界、製造業界、小売業界などにおいて、少しずつであるが電子証明書の利用が進んでいる。また、商業登記に基礎を置く電子認証制度が開始して 1 年余りたつ事に加え、今年 10 月からは公共工事の電子入札が始まり、ここにおいても電子証明書は使用される予定である。これらを含め、政府は 2003 年度迄に電子政府の基盤構築を目指しており、民間と行政機関との間のインターネットを通じた行政手続きにおいても電子証明書は威力を発揮するであろう。 4. 電子認証システムの利用に当って認証局(CA)が様々なセキュリティ対策を行うことは当然のことであるが、利用者が自分の秘密鍵と利用者システムを用いて電子署名の生成を行う場合や、他人から受け取った証明書と利用者システムを用いて電子署名の検証を行う場合においても、安全性確保の為の様々なセキュリティ対策が必要である。利用者が利用者システムを運用する場合の留意点を、以下に列挙する。 ①離席時に秘密鍵が保存されたパソコン等を、他人が触れないようにする。 ②秘密鍵は IC カード等に保管することが望ましい。また、それは常に携行する。 ③利用者システム及び秘密鍵利用の為の認証情報(パスワード等)は暗記しておき、また他人には教えない。 ④利用者システムを構成するソフトやハードはセキュリティ対策が実施された信頼できる製品を採用し、また、証明書は信頼できる認証局(CA)から発行してもらう。 ⑤利用者システムのコンピュータの日時を正確に設定する。