○
参考人(
川島昭彦君) それでは、私の方から
電子署名、それと
認証事業者ということで、実態的にどういうことをやっておるかというようなことを
説明させていただきたいと思います。ちょっと
パワーポイントを使いましてプロジェクターで御
説明差し上げたいと思います。(
資料映写)
既に
辻井先生、
鳴戸先生の方から
各国での
電子署名法がもう成立しておるんだというお話はたびたびいただいておりますので、
最初の三ページ分は割愛させていただきます。特に、
日本でもこの
法律が早く制定されることを
各国は望んでおるというようなことは私も同じように感じております。
早速本題に入りまして、
電子署名の仕組みというのを少し図面を使いまして御
説明差し上げたいと思います。
そもそも
電子署名というのは何かと申し上げますと、通常、
現実の
世界では紙に書いたものに、例えば
契約書などのドキュメントは、これに
署名ないしは
捺印を行うことによって、そこに書かれている
内容に
署名捺印者が
内容を確認した、合意したということの証拠としてこういうことを残すというのが一般的であります。
時代が今どんどんと
インターネットを初めデジタル化したままのドキュメントでやりとりをしようというような流れになってきておりますので、じゃデジタルの状態のままでその
署名捺印に当たるものはどのようにすればいいのか。ここで出てくるのが
電子署名という
技術であります。現在考えられておるのは、一般的に
公開かぎ暗号という
暗号技術を使いまして、この
暗号技術でもって
電子署名を行うということになっております。
それは具体的にどういうものかと申し上げますと、ここの上の方が紙ベースのドキュメント、下が
電子文書、デジタルファイルだというふうにお考えください。
紙ベースの場合に、ちょうど
印鑑だとかサインというものを行うわけですが、民訴法二百二十八条四項では、
署名押印が
本人により行われたものであれば
文書は
本人によって作成されたものであるということについての推定効を与える、こういうふうになっております。この場合の
印鑑をだれのものかというのを
証明するのが役所などで配付される
印鑑登録証明書ということになっております。
電子文書の場合、ちょうどこれに当たるのが、
電子署名が
本人により行われたものであれば、この
電子文書は
本人によって作成されたものであることについて推定を与えようというのが今回の
電子署名法です。
この場合の
電子署名がだれによってなされたかというのを確認するために使われるのが
電子証明書なわけですけれども、上の
印鑑登録証明書というのは役所が発行しておりますので、ある程度均質なものである。これに対して、
電子証明書というものについてやはりある
安全性を確保しなければならないということで特定
認証局というような概念が出てきておりまして、ここには安全、
信頼性の高い
認証局を
政府がある程度
審査をして、あるレベル以上であるということを保証しよう、こういう形になっております。
具体的に、この中身というのを少しだけ図入りで解説させていただきます。
これはちょっと遠いので、お
手元の
資料の方がよくわかるかと思いますが、具体的にどういうことになるかといいますと、まず、
公開かぎ暗号の特性というのは、
かぎのペアというのをつくります。
秘密かぎと
公開かぎと言われるペアをつくります。この
秘密かぎで
暗号化したものを平文化、もとの文章に戻せるのは、これの対になっている
公開かぎのみである、かつこの
かぎペアというのは
世界じゅうで全く同じものを持つ可能性というのは極めて低いという、そういう性質の
かぎをベースにしております。
この
かぎペアをまず
最初につくりまして、Aさんがその
公開かぎ部分を
認証局に
証明書をつくってくれということで請求に行きます。この場合、通常はオンライン、すなわち
ネットワークを通じて請求に行くのが普通だと思いますが、申請をいたします。
認証局では、この
利用者が
本当にその
利用者かどうかということを確認した上で、
本物であればこの
公開かぎに対して
証明書を発行してあげます。この
証明書の中には
公開かぎ自身が含まれております。これが発行されますと、Aさんは
証明書と自分の
秘密かぎというものを手にしたことになります。
ここで、早速AさんからBさんに対して
電子文書に
署名をして例えば
契約書のようなものを送ろうと、そうしたときに、自分しか持っていないこの
秘密かぎでその
文書を
暗号化いたします。この
暗号化したものがこの斜線が入っているものですが、
暗号化したものと
公開かぎの入った
電子証明書とを一緒にしてBさんに送りつけます。Bさんは、この届いたものから、
電子証明書の中に入っている
公開かぎを取り出します。取り出しまして
暗号化された
文書をもとの
文書に戻すわけですけれども、これがもとに戻れば、この
暗号化された
文書は今取り出した
公開かぎの唯一のペアである
秘密かぎで
暗号化されたことにほかならない。
すなわち、
本人しかできない行為がこの
暗号化されてきた
文書にはなされているんだと、これはまさに
本人しかできない行為、すなわち
印鑑を押したとか
署名をしたとかということと同じではないかということで、こういう
技術を使って
電子署名というものを一般化しようとしております。
これをもう少し絵でわかりやすくつくりますと、今ジョンさんという人が自分のパソコンの上でこうやって
かぎペアをつくります。このうち
公開かぎの部分を
CA局、
電子認証局に申請に行きます。
電子認証局では、発行判断をした上で、オーケーであればこういった形で
電子証明書を発行します。これで自分のパソコンの中に
電子証明書と
かぎのペアを持つということができたと。
さて、ジョンさんはアリスさんに対して何かのドキュメンツを送ろうということで、
契約書に
電子署名をしようと。これをやっていきますと、実際にこういった形で
電子署名を行って、
暗号化された
文書と
電子証明書というものをアリスに送ります。アリスはこれを手に入れるわけですけれども、先ほどの図面のとおり、ここから、
電子証明書の中からジョンの
公開かぎを取り出しまして、平文化をいたします、もとの
文書に戻します。見事こうやってもとの
文書になりますということは、ジョンさんの
秘密かぎで
暗号化されてきた
文書でしたねということになります。
もし、これがジョンさんじゃない人の
秘密かぎで
暗号化されてきたものであったり、途中で抜き取られて一部
内容が変えられている場合というのは、こういう形で何か文字化けしてしまったような、こんなふうになって
内容が見えません。すなわち、これは改ざんされているんだということになって、
電子署名がなされていないということになります。
現実世界では、例えばSETと言われるクレジットカードの標準プロトコルがあります。これはビザとマスターが一緒になってつくってきているプロトコルですが、この中では既に
電子署名というものが使われております。
次の議題で、では実際に
電子認証局とはどういうことをやっているかということを少し触れさせていただきます。
初めに、
我が国では既にここに挙げます四社ないしこれ以外にも
電子認証局というのが立ち上がり始めております。既にサービスが始まっているということです。
認証局の業務というのは何をやるのかといいますと、端的に言うと、
本人の確認、発行可否判断、それから
証明書の発行業務自体、それから発行した後の履歴管理、こういったことが
認証局の業務であります。
先ほどの
説明でもありますとおり、
電子署名されてきた
文書が
本当にその人のものかどうかというのを保証するものというのはこの
認証局が発行する
証明書ということになりますので、この
証明書自体が危うい
安全性のもとで発行されておりますと、
電子署名自体のインフラがぐらつくことになります。したがって、この
電子署名を発行する
認証局というのは、非常に
セキュリティーないしはこのインフラを支える上での重要なかなめということが言えます。
ちなみに、私どもの
認証サービスというのはどんなことをやっているかということを少しだけ御
説明して最後にさせていただきたいと思いますが、サイバートラストというのはもともと軍事
技術の民生転用から始まった
電子認証局です。既に海外で二百万以上の
公開かぎを発行しておって、その中でやっておるものというのは何かといいますと、結局のところ、
認証局自身のプライベート
かぎというものがあるんですけれども、つまり
証明書自身に押されている
判こみたいなものです。これを一番大切だとして守るというのが我々の業務であります。
それを守るために、例えば物理的
セキュリティー、
ネットワークセキュリティー、オペレーションの
セキュリティーなどというものがあります。物理的
セキュリティーというのは、実際に何重構造にも建物をつくってやって、奥の奥に入っていかないとこのプライベート
かぎというものにたどり着けないような構造をつくる。また、
ネットワークセキュリティーというのは、
ネットワークを介して発行を行っているものですから、こういったファイアウオールを中心とした
ネットワークセグメントやアクセス監視のアラートを発行する。それから、人的な
セキュリティーでは、例えばある領域から先は一人では一切タッチすることはできないようなエリアを設けて相互監視みたいなものを社内的につくっておく。それからまた、ニード・ツー・ノウ・ポリシーというのは、知らなくてもいいことは社内の人間たりとも一切教えないというような、そういう厳格な運用ルールというものが存在しております。また、マニュアル類、こういったものがあって、それから外部監査、こういったものもきちっとしたルールの上で運営されておる。こういったことがすべて相まって初めて
セキュリティーというものが確保できるということであります。
最後に、アメリカ側のサイト、
CA局の中というものを少しビデオがありますので御紹介して、これで終わりにさせていただきます。
これはアメリカのサイバートラスト社の中の様子でありますが、こういったドアがたくさんある中の
一つが、あけてみると中が
CA局になっております。どのドアがそれかというのは外からは簡単にはわからない仕組みになっております。ビル自体に
セキュリティー、ガードを置いておるんですが、ここではもう一度こういった登録を行います。
ここに今示されているのが、壁の構造はこんなふうにしてつくっておりますというようなことを
説明しております。すなわち、先ほどのマルチタイヤモデルというものが、こういったちょうど鳥かごみたいなものをつくっていって外部からの侵入を容易にはできないようにつくっていく、すべての壁がこんなふうな形でつくられていきますよという形になっております。天井部分までもすべてこういう形でつくってまいります。
ここから先、中に彼女が入っていくわけですけれども、さらにドアをくぐって入っていきます。これがマルチタイヤモデルの何重構造というようなそういったものになっております。
この先は、ノーアローンといわれる一人では一切何もタッチできないゾーンということになっております。ここにはこういうコンビネーションのロック、それから今出てまいりますが、フィンガープリント、すなわち指紋を読み取らせて入るというような、そういうロックと両方がございます。この二人が指紋とコンビネーションロックを別々に管理しておりまして、二人が同時にこれにアクセスして成功したときのみ、こうやって入ることができる。もちろん、こういったカメラのたぐいやなんかというのが厳重に装備されておる。こういったのが
認証局の中身であります。
最後になりましたけれども、今回、
電子署名というものが
法律化されますことによって、より安全なインフラストラクチャーがデジタル化の
社会の中にできていくということに非常にプラスになるんではないか。
例えが少し違うかもしれませんが、過去において、銀行で例えば通帳と
印鑑がないとお金がおろせなかった時代から比べますと、最近ATMでお金がおろせるというのは大変便利になっております。これは、使っている
利用者は何のことも考えずにATMマシンの前に行ってプラスチックカードを入れて四けたの暗証番号を入れてお金を引き出しているわけですけれども、実はああいったことが安全になされている裏には、非常に綿密に考えられた
セキュリティー設計、
ネットワーク設計と、それから日ごろから絶え間ない監視業務、こういったものがあって初めてなされている、そういったことのいい例かと思います。
今回の
電子署名法も、これから時代がIT化していろんな新しいこういう便利なものが出てくる。そういったときに、時代に相応してインフラをきちっとつくっていくということは、安全な
国民社会をつくっていく上で非常に重要であろうと考えております。そういった
意味で、この
電子署名法というものがきちっとした形で
セキュリティーを考えられてつくられてくるということを切に望む次第であります。
以上、私の
説明を終わらせていただきます。ありがとうございました。