電子商取引を安心して行う為には

電子商取引を安心して行う為には
−電子認証の仕組みとその利用−
電子商取引推進協議会
1. は じ め に
電子商取引を行う上において、データが途中で盗み見されて改竄されてはいないか、取
引相手が信頼できる相手か否かといった不安を感じる事は誰しもあるものである。この不
安を払拭し、安全性と信頼性の確立を行うことが、電子商取引の発展には不可欠な事であ
る。
今回は電子商取引を安心して行う技術として最近新聞紙上等で目にすることが増えてき
た電子認証について、その仕組みと利用形態、分野等について解説する。
2. 電 子 署 名 と 電 子 証 明 書
(1)電子署名の必要性
インターネットを使って電子商取引を行う場合、発注側のデータが途中で改竄されると、
発注側の意図したデータが正確に受注側に伝わらないばかりか、受注側は受け取ったデー
タを発注側の正しいデータと勘違いして受注処理をしてしまう可能性がある。このような
被害を防ぐ為に、電子署名(デジタル署名)が必要になる。図 1 によりその仕組みを説明する。
図1
電子署名と電子証明書の役割
A さんは、まず、秘密鍵と公開鍵の鍵ペアを作成する。ここに、秘密鍵とは、A さんのみ
が大切に保持し他人に公開することのない鍵であり、公開鍵とは広く一般に公開する鍵で
ある。次に、ハッシュ関数という関数により電子文書からある値を作り出し(ハッシュ値)
これを秘密鍵で暗号化する。この暗号化の行為が、デジタル署名の生成である。もちろん
ハッシュ関数という物を使わず、電子文書そのものを秘密鍵で暗号化する事も構わない。
このようなデジタル署名を可能にする市販のソフトウェアも販売されており、電子メール
やインターネットショッピング、企業間取引においてデジタル署名は利用され始めている。
以上のようにデジタル署名を行った A さんは、電子文書とデジタル署名を一緒に B さん
に送る。B さんは、受け取ったデジタル署名を、一般に公開されている A さんの公開鍵で
復号化する。この復号化によりハッシュ値が生成される。また、一緒に送られた電子文書
からハッシュ関数によりハッシュ値を作り出し先程のハッシュ値と比較する。この行為が
デジタル署名の検証である。この二つのハッシュ値が一致することにより、データが途中
で改竄されていいないこと(完全性)を確認することができる。また、おそらく A さんが送っ
て来たであろうことを確認することができる。
(2)電子証明書の必要性
ところで、発注者とは関係のない悪意のある人(仮に C 氏とする)が発注者に成りすまして
取引をしょうとしたらどうなるであろうか。この場合、C 氏が秘密鍵と公開鍵のペアを作り、
自分は A さんだと偽って、B さんにデータを送り、B さんは一般に公開されている C 氏の
公開鍵を A さんの公開鍵と信じきって、データの検証を行うのである。これを防ぐ為には
入手した A さんの公開鍵が、A さん自身の物である事が何らかの形で証明されていなけれ
ばならない。
この為に必要なのが、電子証明書である。図 1 に示すように、A さんは生成した公開鍵
を、認証局(CA)に送り公開鍵証明書(電子証明書)を発行してもらう。これにより A さんが
届け出た公開鍵が A さん自身の物である事が証明されたことになる。A さんは、
「電子文書
+デジタル署名」に電子証明書を加えた、3 点セットを B さんに送付する。
証明書は実は有効期限があるものなので、B さんは証明書失効リスト(CRL)という物でそ
の有効性を確認する。そのあと、詳しい事は省略するが、認証局(CA)の公開鍵を使って、
受け取った A さんの公開鍵証明書が A さんの物である事を検証する。これで初めて公開鍵
証明書から A さんの鍵を取出し、安心して前述の署名検証というプロセスに移れるのであ
る。
以上の電子認証システムを支える基盤は、PKI(公開鍵基盤)とも呼ばれている。
3. 電 子 認 証 の 利 用 形 態 と 分 野
それでは、このような電子認証の仕組みはどのようなところに使われているのであろう
か。身近な例では、電子メールやインターネットショッピングにおけるデータのやり取り
で必要に応じて使えるように、メールソフト等にはその機能が組み込まれ始めている。
先進的な企業においては企業内の社員に対して証明書を発行することは良く見られるこ
とであるが、その他にインターネット上における企業との取引においてもこのような仕組
みが使われ始めている。例えば、日本、アメリカ、西ヨーロッパの主要銀行が Identrus と
いう仕組みを作り、独自に銀行向けに電子証明書を発行するなど銀行業界で利用されたり、
貿易金融 EDI(TEDI)において電子証明書が発行されたりする他、証券業界、保険業界、製
造業界、小売業界などにおいて、少しずつであるが電子証明書の利用が進んでいる。
また、商業登記に基礎を置く電子認証制度が開始して 1 年余りたつ事に加え、今年 10 月
からは公共工事の電子入札が始まり、ここにおいても電子証明書は使用される予定である。
これらを含め、政府は 2003 年度迄に電子政府の基盤構築を目指しており、民間と行政機関
との間のインターネットを通じた行政手続きにおいても電子証明書は威力を発揮するであ
ろう。
4. 電 子 認 証 シ ス テ ム の 利 用 に 当 っ て
認証局(CA)が様々なセキュリティ対策を行うことは当然のことであるが、利用者が自分
の秘密鍵と利用者システムを用いて電子署名の生成を行う場合や、他人から受け取った証
明書と利用者システムを用いて電子署名の検証を行う場合においても、安全性確保の為の
様々なセキュリティ対策が必要である。利用者が利用者システムを運用する場合の留意点
を、以下に列挙する。
①離席時に秘密鍵が保存されたパソコン等を、他人が触れないようにする。
②秘密鍵は IC カード等に保管することが望ましい。また、それは常に携行する。
③利用者システム及び秘密鍵利用の為の認証情報(パスワード等)は暗記しておき、また
他人には教えない。
④利用者システムを構成するソフトやハードはセキュリティ対策が実施された信頼で
きる製品を採用し、また、証明書は信頼できる認証局(CA)から発行してもらう。
⑤利用者システムのコンピュータの日時を正確に設定する。