電子署名のセキュリティは大丈夫?安全性がわかる仕組みを紹介します | 株式会社ワンビシアーカイブズ

電子署名のセキュリティは大丈夫?安全性がわかる仕組みを紹介します

2021.08.20  株式会社ワンビシアーカイブズ

electronicsign_security_eyecatch.jpg

文書のデジタル化が進む中で気になることのひとつが、セキュリティに関する問題です。
電子化されたデータは、何も施さないままであれば、パソコンやスマートフォンなどの手元の端末で、容易にコピーができてしまいます。そこで、データの改ざんや第三者によるなりすましを予防し、そのデータが信頼の置けるものなのか判断できる手立てとして、「電子署名」という方法が有効です。

今回は、電子署名をはじめとする、電子文書を守るセキュリティの仕組みと、電子契約サービスについて解説します。

電子署名とは?

電子署名とは、電子文書に付与する電子的な「しるし」のことです。
メールの最後に見られるような差出人を表すものも「署名」といいますが、電子署名は、電子契約の法的取扱いについて定めた「電子署名法(電子署名及び認証業務に関する法律)」によって定められたものを指します。
電子署名は、紙文書での自筆サインや印鑑に相当し、当該の電子文書が間違いなく署名者本人によって作成されたものであり、かつ内容が改ざんされていないことを証明するものです。

また、電子署名法の第3条により、本人による電子署名が行われている電子文書は、真正に成立したものと推定されます。つまり、電子署名があれば、「署名者の意思でその文書が作成されたものである」として、法的に扱われるのです。

電子署名のセキュリティ体制

紙の文書であれば、自筆のサインや印鑑登録した印を押すことで、その文書が原本であり、改ざんされていないことを証明できます。しかし、電子文書では同じ方法は使えません。代わりに、電子署名を使用するわけですが、どのようにして電子署名が署名者の本人のものであるとするのか、その仕組みは多少複雑です。順番に紹介していきましょう

電子署名に使われている技術

まず、電子署名は、次の2つの技術を基盤としています。

公開鍵暗号方式

公開鍵暗号方式とは、ペアとなる2つの「秘密鍵」と「公開鍵」を使って、文書の暗号化と復元を行う技術です。電子データの暗号化の基本技術として、広く利用されています。

ハッシュ関数

ハッシュ関数とは、入力されたデータに対して一定のルールに則って、一見適当に見える数値(ハッシュ値)を算出する技術です。同じデータを入力すれば、必ず同じ数値が算出されます。しかし、ハッシュ値から元のデータを復元することはできません。

電子署名の仕組み

電子署名は、公開鍵暗号方式とハッシュ関数という2つの技術に、公開鍵が本物であることを証明する「電子証明書」を発行する電子認証局というシステムを組み合わせることで、文書が署名者本人によって作られたことと、改ざんされていないことを担保します。
具体的には次のような手順で、本人確認と改ざんの有無のチェックを行います。

electronicsign_security01.png

<電子署名をする人(文書の発信者)>

  1. 電子認証局に対して電子証明書の発行を依頼。電子認証局は、本人確認を行った上で秘密鍵と公開鍵を生成します。秘密鍵はICカードに入れるなど申請者本人しか中身を知りえない方法で申請者に渡され、公開鍵は電子証明書に記載して申請者に発行されます。
  2. ハッシュ関数を使って、電子文書をハッシュ値に変換します。
  3. 変換したハッシュ値を、秘密鍵を使って暗号化します。これが電子署名になります。
  4. 電子文書と電子署名、公開鍵が記載された電子証明書を3つセットにして、文書の受取人に送ります。

<文書の受取人>

  1. 受け取った電子証明書が失効していないか、有効性を確認します。
  2. 受け取った電子文書を、文書の発信者と同じハッシュ関数を使ってハッシュ値に変換します。
  3. 受け取った公開鍵を使って電子署名を復元し、これもハッシュ値に変換します。
  4. 「2」と「3」のハッシュ値を比べます。値が同じであれば、秘密鍵と公開鍵がペアであること、署名者が送った文書と受け取った文書は同一のものとみなします。これで、確かに署名者本人が作成し、改ざんもされていない文書であることが確認できます。

タイムスタンプ

電子署名は、署名者本人が作った文書であることと、改ざんされていないことが証明できます。しかし、その文書がいつ作られ、いつ以降、改ざんされていないのかまではわかりません。この「いつ」を担保するために、電子文書のやりとりでは、電子署名と合わせて「タイムスタンプ」が使われます。
タイムスタンプとは、ハッシュ関数を利用した電子的な時刻証明書であり、その電子文書が、タイムスタンプが押された日時に存在していたことを証明するためのものです。

データセンターの環境

電子署名とタイムスタンプを使えば、電子文書が署名者になりすました別人によって作られたり、その文書がいつから存在し、途中で改ざんされたりしていないかをチェックすることができます。ただ、それだけでは電子文書のやりとりが安全とはいえません。通常、電子文書のデータはサーバーで保管されます。このサーバーのセキュリティ体制が不十分だと、データが盗み見られたり、消失したりする可能性があるのです。
電子文書を安全にやりとりするためには、不正侵入への対策はもちろん、災害などへの備えや海外法にもとづく差し押さえリスク等も考慮した、国産サーバーを選ぶことも大切です。

電子署名を手軽に利用できる電子契約サービス

電子署名を利用した文書送付・検証のプロセスを、すべて自力で行うのは大変です。そこで、誰でも簡単に電子署名を使って文書をやりとりする方法として、電子署名システムを組み込んだクラウドサービス「電子契約サービス」を利用するのが一般的です。

ただ、一口に電子契約サービスといっても、サービスの内容やセキュリティレベルは、提供会社によって異なります。そのため、電子署名はもとより、タイムスタンプは使えるのか、データサーバーのセキュリティ体制はどうなっているのかなど、内容を比較・検討した上で、信頼性が高い電子契約サービスを選ぶ必要があります。

電子契約サービス「WAN-Sign」の強固なセキュリティ体制

ワンビシアーカイブズが提供する電子契約サービス「WAN-Sign」は、信頼できる電子署名とタイムスタンプシステムを採用。しかも、万一の災害リスクにも備えた、自社所有の国産のデータセンターを完備しています。国産基盤であるため、海外法にもとづく海外当局からの差し押さえといった影響もない数少ないサービスであり、100社以上の金融機関に採用されている実績があります(2021年7月現在)。

「WAN-Sign」では、次のような体制で電子文書の安全を守っています。

<電子署名システム>

    • 国内シェアNo.1の電子認証局「GMOグローバルサイン」と直接連携
    • 電子認証局の正当性を保証する「ルート証明書」は、信頼性の高いAdobe認定のものを利用
    • 厳格な本人確認を行う「当事者型」と、簡易な「立会人型・事業者署名型」の2種類の契約を使い分けられる(2種類を組み合わせたハイブリッド版も使用可能)

さまざまな電子認証局がある中で、実績があり信頼性の高いものを採用しています。

<タイムスタンプ>

      • 時刻認証業務認定事業者(TSA)であるセイコーソリューションズの認定タイムスタンプを標準付与

法定保存文書を電子データで保存することを認める法律であるe-文書法や電子帳簿保存法といった、各種法令に対応したタイムスタンプです。

<データ保存環境>

      • データは自社所有・運営の国産データセンターで管理(国産基盤および国内設置のため国内法に準拠しており、海外法の対象とならない)
      • 保管先は日本国内2ヵ所(関東・関西でオンラインバックアップを実施)
      • 都心・沿岸から60km離れた立地で地理的リスクを排除し、災害対策にも対応
      • データセンターは書面監査や実地監査の受け入れも可能
      • 自社スタッフによるデータ管理・運営
      • セキュリティ専用チームにより情報管理を徹底
      • 通信の暗号化により、第三者に情報を傍受される可能性を最小化(データはサーバーに暗号化して保存)

災害対策を施した自社所有・運営の国産データセンターでデータを保管しているので、第三者からのアクセス等のリスクはもちろん、海外当局からのアクセスや開示請求などを受けるリスクも極小化されています。

<セキュリティ・内部統制機能>

      • フォルダごとのアクセス制限、IPアドレスによる接続制限、高い利便性とセキュリティ強化を両立するSSOなどの機能を標準搭載

オプション追加なしに、金融機関が求めるセキュリティ・内部統制機能がそろっています。

セキュリティ体制の整った電子契約サービスを選ぼう

電子文書を安全にやりとりするには、「信頼性の高い電子署名システム」「タイムスタンプ機能」「セキュリティ体制」の3つがそろった電子契約サービスが欠かせません。ぜひこの3つを、サービス選びの基準にしてください。

ワンビシアーカイブズの「WAN-Sign」は、3つの要素をすべて兼ね備えた電子契約サービスです。強固なセキュリティ体制を構築している電子署名が利用でき、タイムスタンプ機能はもちろん、国産データセンターという安心感を兼ね備えています。現状の電子文書のセキュリティ体制に不安をお持ちの方は、お気軽にご相談ください。

出典:電子署名・認証・タイムスタンプ その役割と活用

WAN-Sign機能説明書

RECENT POST「業務効率化」


RELATED POST関連記事


電子署名のセキュリティは大丈夫?安全性がわかる仕組みを紹介します