2016.12.28
レポート
EU電子署名・トラストサービス動向
(1) リモート署名
筆者:株式会社コスモス・コーポレイション
ITセキュリティ部 責任者 濱口 総志
(JIPDEC客員研究員)
監修:慶應義塾大学大学院 政策・メディア研究科
特任教授 手塚 悟
リモート署名とは
リモート署名とは、電子証明書(※1)を使って、署名者の電子証明書をサーバ上で管理(正確には、秘密鍵をサーバで管理します)し、電子署名時にこのサーバ上の電子証明書を用いて電子署名を実現する仕組みです。
リモート署名では、署名者が電子証明書を自ら管理する必要が無く【i】 、署名者にとって、より簡便なソリューションであり、今後広く普及されていくと考えられており、本コラムでは第1回目として、このリモート署名に係わる欧州での動向及び、そのセキュリティ上の留意点を取り扱います。
(※1) 電子証明書:インターネット上の身分証明書とも言われる。公開鍵暗号基盤(Public Key Infrastructure)の暗号技術を利用している。秘密鍵と公開鍵と呼ばれる異なる2つの鍵を用いて暗号化と復号を実現する。電子証明書には、電子署名、電子認証、暗号化の機能があり、インターネット上でのなりすましの防止、電子文書の改ざん検知、電子データの暗号化等が実現できる。
【i】一般に、信頼性の高い電子署名を実現する為には、署名者は自らの秘密鍵をPC或いはUSB、スマートカードといったセキュアトークン内に保管し、自らの責任でセキュア管理する必要がある。
電子署名のレベル感について
電子署名が、署名者によって行われたことを証明する為の仕組みとして、欧州では、eIDAS規則(※2)によってトラストサービスの一つとして定義され、その法的効力が承認されています。eIDAS規則では通常の電子署名と適格電子署名の2つに分類し、適格電子署名であれば、即座に手書き署名と同等であると定めています。
(※2) eIDAS規則:Regulation (EU) No910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC
eIDAS規則におけるリモート署名について
リモート署名に関して、eIDAS規則では以下の様に言及されています。
“電子署名を実施する環境の管理をトラストサービスプロバイダが署名者の代わりに行うリモート署名は、経済合理性を考えると今後増加していくものである。ただし、これらのリモート署名が、完全にユーザが管理する環境で実施された電子署名と同等の法的承認を受ける為には、リモート署名を実施するトラストサービスプロバイダは特定の管理・運営セキュリティ手順を適用し、電子署名環境が信頼できるものであり、署名者の単独の管理のもとで使用されることを保証する為に、セキュアな電子通信チャンネルを含む信頼できるシステムや製品を使用すべきである。適格電子署名がリモート署名システムを使って実施される場合は、本規則で定める適格トラストサービスプロバイダに対して適用される要求事項を適用すべきである。”【ii】
これはつまり、リモート署名であっても、信頼できるシステム環境であり、署名者単独の管理の下での署名であれば、通常の電子署名と同等の法的効力を認めるということです。
ここで、「単独の管理(Sole Control)の下の署名」という言葉が出てきましたが、「単独の管理」とは、そのリモート署名が本人の意思によって行われたことを保証する為に、サーバに保管されている署名者の秘密鍵が署名者本人の意思のみによって電子署名に利用されること保証する仕組みです。欧州では、この「単独の管理」を保証する為のセキュリティ要件をレベル1~2の2段階で定めています。
下の表は、欧州における電子署名及びリモート署名に関する法律、セキュリティ要件の整備状況をまとめたものです。
|
|
欧州 |
|---|---|
|
法体系 |
eIDAS規則 |
|
技術基準に適合した認証業務 |
TSP(トラストサービスプロバイダ) |
|
法適合の認証義業務 |
QTSP(適格トラストサービスプロバイダ)、適格電子署名 |
|
技術基準 |
ETSI EN 319 401 |
|
リモート署名 |
可 |
|
単独の管理(Sole Control)の保証 |
EN 419 241(Sole Controlレベル1及びレベル2を規定)【iii】 |
|
リモート署名アプリケーション |
TSP及びQTSPのセキュリティ要件 |
リモート署名の適用について
欧州では、先ほど抜粋したeIDAS規則が定めるセキュリティ要件を満たせば、適格電子署名サービスでもリモート署名として提供することが可能となります。この適格電子署名サービスを用いたSole Controlレベル2のリモート署名は、主として行政手続きのオンライン申請等のCtoGの分野や、銀行口座の開設の分野で利用されることが予想され、企業間の電子契約等のBtoBの分野や、WEBメールへの電子署名については、EN419 241で定められるSole Controlレベル1のセキュリティ基準を満たしたリモート署名が利用されていくことが予想されます。このように、欧州では既存の電子署名の適用分野がそのままリモート署名の適用分野となっていくと考えられます。リモート署名は電子署名を遠隔で行うことを可能にし、ユーザにとってより便利な電子署名ソリューションを提供するものですが、リモート署名であることが理由で、その電子署名の適用分野が変わるものではありません。
下の表は欧州におけるリモート署名の適用分野と、セキュリティ要件の対応を示します。
日本のリモート署名について
我が国では、未だリモート署名に関するセキュリティ要件や、法律は整備されておりませんが、既に電子契約ソリューション等においてリモート署名が利用されています。さらに、他の電子署名ソリューションについても、今後リモート署名に置き換わっていく可能性があります。リモート署名の適正な利用を推し進めてゆくためには、リモート署名サービス提供者には、適切なセキュリティ要件を満たしたサービスを提供する責務があり、また、サービスを利用するユーザや企業は、利用するリモート署名サービスが適切なセキュリティ要件を満たしたサービスであるかを熟考する必要があります。必要なセキュリティ要件を満たさないサービスの提供/利用に関する問題は言うまでもなく、過剰なセキュリティ要件を満たしたサービスについても、必要以上のコストが発生する原因となりますので注意が必要です。
(2016年12月掲載)