このページの本文へ

ここから本文

MistyGuard<SignedPDF>シリーズ

リアルビジネスを支える電子署名の仕組みと活用のポイント

  1. 大規模システムインテグレーション
  2. サービス一覧
  3. 電子署名モジュール MistyGuard<SignedPDF> <SignedXML>シリーズ
  4. 掲載記事紹介
  5. リアルビジネスを支える電子署名の仕組みと活用のポイント

"バーチャル"という特性が強調されることが多いインターネット。匿名性の確保や、誰でも自由に情報を発信できる点が大きなメリットであることは間違いありませんが、リアルビジネスのインフラとして考えると、さまざまな問題点が指摘されてきたことも事実です。
その代表的な例が、発信元を明確にし、途中で改ざんされていないことを保証する、真正性の確保です。その解決ツールとして登場したのが、自筆の署名や押印と同等の効果が認められる電子署名です。今回は、電子署名の仕組みと、リアルビジネスという観点から活用のポイントを探ってみましょう。

文書の真正性を保証する電子署名制度

米国政府が1993年に民間に開放して以来、インターネットは1995年頃から日本でも急速に普及が進みました。"ブロードバンド契約数が1,500万件に接近"、"携帯電話のインターネット対応率は89.5%"といった数字を持ち出すまでもなく、すでに社会のインフラとして確立され、ビジネスや教育、医療、福祉、行政などさまざまな分野で活用が進んでいます。特にビジネスの現場では、インターネットがなければ日常業務に支障をきたすほど、不可欠なインフラとして位置付けられるようになったと言っても過言ではありません。

インターネットは当初、メールの送受信やホームページの閲覧が主な用途でしたが、PCの普及など情報のデジタル化が加速したことを背景に、見積書や注文書など、ビジネスに関わる多数の文書をやり取りするためのツールとなりました。つまり、"バーチャル"と表現されるインターネットは、単なる情報流通の仕組みではなく、リアルなビジネスのインフラとして注目されるようになったのです。

ところが、インターネットの世界では、リアルな世界のように実際に人と会って相手を確認したり、間違いなく契約したことを証明するために署名や押印をしてもらうことはできません。そもそも、間違いなくA社からの注文書であること、注文書の数字が途中で書き換えられていないことが証明できない。つまり、文書自体の真正性が保証できないという基本的な問題があります。したがって、リアルなビジネスで活用するには、インターネット上で流通する情報を人や組織、企業と関連付けられるような仕組みが求められました。これを実現するのが、PKI(Public Key Infrastructure:公開鍵基盤)と呼ばれる暗号技術や、これをベースにした電子署名です。

このような技術基盤が確立したことで、法律の整備も進みました。2001年4月には、「電子署名及び認証業務に関する法律」(電子署名法)が施行。電子署名であっても、従来の物理的な紙面上での署名や押印と同様の効力を持つことが認められるようになりました。こうして、技術基盤と法律により、企業がリアルビジネスに電子署名を活用する環境が一通り整備されたことになります。

PKIとハッシュ関数が電子署名のベース

電子署名のベースになっているPKIは、公開鍵方式と言われる暗号技術を利用しています。公開鍵方式とは、秘密鍵(プライベート・キー)と公開鍵(パブリック・キー)という2つの鍵を用いる暗号方式です。この2つの鍵はペアになっていて、秘密鍵で暗号化したデータは公開鍵でしか復号できない、逆に公開鍵で暗号化したデータは秘密鍵でしか復号できないというのが、基本的な原理です。秘密鍵は本人しか持ち得ないため、これとペアの公開鍵で復号できれば、本人の自筆による署名や押印と同様に、文書の作成者や承認者、決裁者を証明できるというわけです。また同時に、送信側が送信事実を否認できなくなるという側面も備えています。

ここで、秘密鍵で暗号化する前の文書(平文)を一緒に送付すれば、公開鍵で復号した文書と比較することで、途中で改ざんされていないことも確認できます。ただし実際には、二つの文書を比較するのは、処理にも負担がかかり、効率的とは言えません。そこで改ざんを検知するために利用されるのが、ハッシュ関数と呼ばれる技術です。
ハッシュ関数とは、通信メッセージの長さに応じて、一定の長さの数値を乱数のように出力する不可逆関数のことです。送信者は原文とこのハッシュ値を併せて送信。受信側は原文のハッシュ値を求め、これを送られてきたハッシュ値と比較することで、途中で改ざんされていないことが確認できます。仮にメッセージ中の数値の一部が書き換えられてしまうと、ハッシュ値が送られてきたハッシュ値と一致しないため、改ざんされたことがわかるという仕組みです。

現在最も利用されているハッシュ関数がSHA1と呼ばれるタイプのもので、原文から160ビットの数値を発生させる方式です。以前はMD5と呼ばれる128ビットの数値を発生させる方式も利用されていましたが、安全性の面からSHA1が主流になり、電子署名法の指針にも規定されています。
これらPKIやハッシュ関数といった技術に支えられているのが電子署名です。かなり複雑な処理に見えるかもしれませんが、現時点では安全性を確保するための非常に有効な手段であり、すでに電子署名を容易に利用できるソリューションも数多く製品化されています。

期待されているアクセス制御への利用

技術基盤も確立し、法制度も整備された電子署名ですが、現時点ではまだ、一部での利用にとどまり、企業のビジネス現場に広く普及しているわけではありません。その大きな要因は、ビジネスや業務上のメリットが見極められていない点にあると言えるでしょう。署名や押印による真正性の確保は、従来の対面取引や紙の文書である程度確立されています。電子署名法も、電子署名の効力を法的に認めるという趣旨であり、ビジネス上の取引での電子署名の利用を義務付けるものではありません。今後もデジタル化、ネットワーク化の流れが加速していくことは間違いありませんが、署名を電子化することで、従来以上の効果が期待できなければ、あえて電子署名という仕組みを利用するまでもないという意識が働くのは無理のないことかもしれません。そこで、企業が電子署名を利用するメリットについて考えてみましょう。

電子署名は、もともとインターネットを利用したオンライン取引での安全性確保という観点から登場したテクノロジーですが、間違いなく本人であることを確認できるという点では、情報システムへのアクセス制御への利用という点でも大きな期待が寄せられています。すなわち、メリットを活かせる領域はオンライン取引だけではないということです。
現在のアクセス制御はIDとパスワードが基本になっていますが、特にパスワードは盗まれやすい、解読されやすいという点でセキュリティの脆弱性が指摘され、実際に悪用されるケースも後をたちません。そこで、パスワードを定期的に変更する、覚えにくい英数字の羅列にするといった対策が有効と言われていますが、実際に実施されているケースは少ないようです。

誰が情報にアクセスしようとしているかを特定し、その可否を判断する。これは情報の安全性を確保するための前提条件と言えますが、もはやIDとパスワードだけの管理では、この前提条件を満たすことはできないのです。逆に言えば、IDとパスワードによるアクセス制御が、簡単に重要情報にアクセスできる環境を作り出しているわけです。ここに電子署名を利用するメリットがあります。個人の持つ秘密鍵は、原則として外部に流出することはないので、安全性が確保できます。また、システムを運用する企業にとっては、電子署名によって確実にアクセスする人物を特定できるため、安心してアクセスを許可できることになります。

近年、個人情報の流出が大きな社会問題になっていますが、その多くは内部関係者による故意の流出と言われています。また、最近は個人情報に関心が集まっていますが、漏洩によって企業が大きなダメージを受けるのは、個人情報にとどまらず、企業機密や知的財産など多岐に渡ります。電子署名はこうした想定されるリスクを事前に防ぐことができる、有効なソリューションと位置付けることができるのです。

メリットを活かせる部分にこそ活用するという発想が重要

電子署名のメリットを考えるうえでは、IT化、つまりデジタル化やネットワーク化によって、改めてフェース・ツー・フェースのコミュニケーションの重要性が認識されるようになったという事実を無視することはできません。例えば、24時間いつでも利用できる、地理的な制約を排除できるというメールの利便性を多くの人が認識したことが、現在の普及につながっていることは間違いありませんが、これは、コミュニケーション手段がすべてメールに置き換わったということではなく、"メールだけでは不十分なコミュニケーションが実は非常に大切である"ということに企業が気づき始めているのです。

例えばERP導入プロジェクト。全体最適の観点からは、トップダウンのアプローチが有効と言われていますが、実際には、現場の理解が得られなければ導入の効果を引き出すことはできません。そこで重要になるのが現場とのコミュニケーションです。ところが、ここでメールを利用し「現状の問題点は何ですか」という質問を投げかけても、ユーザが認識している問題点しか把握することはできません。

プロジェクト担当者にとって重要なのは、ユーザが認識している問題点だけではなく、ユーザが認識していない問題点をいかに把握するかということです。そのためには、フェース・ツー・フェースのコミュニケーションが欠かせません。経費ではなく投資だという判断から、たとえ海外であっても、現場に足を運ぶことで現状を把握する。先進的な企業は、すでにこの点を重視してプロジェクトを推進しています。

つまり電子署名を利用する環境が整備されても、従来のすべての取引がオンラインに移行できるわけではないという発想が重要だということです。情報のデジタル化が進んだからといって、電子署名があるゆる分野に活かせるわけではありません。月に1~2回程度の大口契約に電子署名を利用するだけでは、企業経営上の大きなメリットは期待できないということです。現在電子署名は、既存の紙ベースでの取引をオンライン上に移行するという前提で議論されている傾向にありますが、企業には、電子署名やPKIの本来のメリットを見極め、効果が高い部分だけに導入していくという考え方が重要と言えるでしょう。

では、電子署名やPKIがもたらす本来のメリットはどこにあるのでしょうか。エキスパートインタビューにご登場いただいた牧野二郎弁護士が指摘するように、電子署名を利用することでビジネス上最も大きなメリットが期待できるのは、ITが得意とする定型取引、大量取引を行っている部分です。
定期取引や大量取引は、常に人の判断ミスを伴うという性格を持っているため、確認作業や複数のチェック体制が不可欠なのが現状です。ここに電子署名を活用できれば、省略したい手続きを短時間に処理し、業務上の負担を大きく軽減できるという効果が期待できます。費用も削減しながら業務の省力化を実現し、なおかつ安全性を確保できる。企業は、電子署名やPKIの持つ、こうしたメリットに目を向けるべきなのです。


電子署名・認証の仕組み(法務省の資料より作成)

企業に求められる総合的な戦略

利便性の向上とセキュリティ性の確保。企業が電子署名を活用し、効果を引き出すためには、この二点のバランスをいかにとっていくかが重要になります。電子署名は、オンライン取引の安全性というセキュリティの確保を重視した技術として登場したことは事実ですが、セキュリティだけに目を向けていたのでは、導入の効果を期待できません。ここで重要になるのが、企業としていかに活用していくかという総合的な戦略です。

前号の巻頭特集( 付加価値を生み出す「e-文書法」対応のポイント )でも紹介したとおり、紙ベースでの取引をデジタル化、ネットワーク化することで得られるメリットは、再利用や長期保存の容易さという点にあります。企業としては、単に署名を電子化するのではなく、アクセス制御、文書管理、業務への活用、長期保存、法廷に提出できる証拠の整備といったさまざまな観点から、システムを整備していく必要があります。そのためには、経営トップやCIO、CISOが、企業としての明確な方向性や方針を打ち出すことが不可欠です。
安全性を確保するという前提で、いかに業務上や経営上のメリットを引き出せるか。この視点で電子署名を活用できる企業が、他社に対する優位性を獲得できることは間違いありません。電子署名やPKIという技術は、企業にとって、大きな可能性を秘めているのです。

電子署名モジュール MistyGuard<SignedPDF>シリーズ

三菱電機インフォメーションシステムズ株式会社(MDIS)が提供する、PDF電子署名ソフトウェア群です。 ICカードを使ったPDFファイルへの電子署名を世界で初めて実現しました。また、同製品のシリーズ製品として、電子文書の署名・検証処理を自動的に行う 電子署名サーバモジュール MistyGuard<SignedPDF Server> 、WebブラウザでPDFファイルに電子署名を実施する電子署名サーバモジュール MistyGuard<SignedPDF Interactive Server>をご用意しています。

この記事について:
この記事は、情報誌「MELTOPIA」2004年9月号に掲載されたものを転載しました。
牧野総合法律事務所 弁護士の牧野二郎氏への取材をベースに構成されています。
ページトップへ戻る