デジタル社会の信用を守るMINDトラストサービス「TrustMinder」
2021年3月 | EXPERT INTERVIEW
データの改ざん、人や組織へのなりすましを防ぎ、デジタル社会の信用を担保するのが、電子署名やeシール、タイムスタンプなどのトラストサービスです。三菱電機インフォメーションネットワーク株式会社(MIND)では、同社が提供する各種トラストサービスを「TrustMinder」と称して提供しています。 長年、トラストサービスの構築と運用に携わってきたMIND セキュリティ事業部 ジャパンネット部 第二課 エキスパート 宮﨑洋光氏にMINDのトラストサービスの特長について伺いました。
トラストサービスは電子の世界と現実世界をつなぐゲートウエイ
MINDでは、「e-Gov※1」や「e-Tax※2」で利用する電子申請や電子入札のための電子証明書(DIACERT・DIACERT-PLUS:認定認証業務)、企業内/企業間で利用する人物や組織を認証する電子証明書(EPPCERT:特定認証業務)、時刻認証のための認定タイムスタンプ (DiaStamp)、電子取引や電子契約などの電子文書を作成するためのサービス(長期署名クラウドサービス)、さらに認証局※3の構築と運用など多彩なトラストサービスを提供しています。
2002年のサービス開始から、認定認証業務、特定認証業務にて数十万枚の証明書発行実績、複数のお客様認証局の運営実績があり、業種を問わず様々な企業や組織で広く利用されています。
宮﨑氏は2007年から一貫して認証局の立ち上げや運用などのトラストサービス関連の業務に携わってきました。トラストサービスでは信頼と安定性がとても重要だと語ります。特に高い信頼性を求められるのが、トラストサービスの重要な構成要素である電子証明書の発行と有効性の確認を行う認証局です。例えば、代表的なトラストサービスのひとつである電子署名には、認証局が利用者の本人確認を行って発行した電子証明書が組み込まれています。電子署名入りのデータを受け取った側は、認証局に電子証明書の有効性を確認することで、その署名が本人のものであると確認できます。万が一、認証局でセキュリティー上の問題が発生すると、電子証明書とそれを組み込んだ電子署名、さらに電子署名の入ったデータの信頼性までが失われてしまいます。
「認証局は、いわばデジタルの世界と現実世界をつなげる存在です。人や組織を電子的に認証するために、現実世界での厳格な審査に基づいて電子的な証明書を発行します。発行された電子証明書はデジタルの世界では大きな効力を持ちますので、認証局は安全を守るゲートウエイとしてしっかりと運用していかなければなりません」
システムの運用面では、堅牢なインフラはもちろんのこと、セキュリティーを重視した運用や、脆弱性のチェックやパッチの適用などを確実に行うことが求められます。
「信頼性が重要視される認証局は、基本的に成熟した技術を使って構築されています。重要なのは長期にわたって厳格な管理のレベルを落とさずに運用することです。運用に関しては他社と比較しても、MINDの誇れるところだと思います」
-
※1
e-Gov; 申請や届出などの様々な行政手続をインターネットで行える公的なサービス
-
※2
e-Tax; 国税庁がインターネットで提供する「国税電子申告・納税システム」
-
※3
認証局; 外部の厳しい監査や堅牢なインフラ、万全なセキュリティー体制のもと、電子商取引などに電子署名や暗号通信などで使用する電子証明書を発行する第三者機関
トラストサービスの構築と運用には独特のノウハウが必要
これまでにトラストサービスの中核である認証局の構築と運用に携わってきた宮﨑氏は、そこには独特のノウハウがあるといいます。
「認証局の構築で最も難しい工程が業務規程の策定です。業務規程の策定は多岐にわたり多くのノウハウが求められます。例えば、サービス内容では発行対象(人、組織、モノ)、審査基準、証明書プロファイルなどを規定します。また、業務手順では審査方法、発行方法、配付方法などの整備が必要になります。他にも業務用設備の維持管理、運営要員の体制や指揮命令系統や教育訓練、定期的な内部/外部監査などがあり、これらを網羅的に規定するスキルが必要で、業務を効率化する工夫も欠かせません。
認証局における最終的な成果物はICカードや電子証明書など電子的なものになりますが、業務規程はその電子の世界と現実世界とを結ぶためのルールです。サービスがどのように構築されていて、どのようにセキュリティーを保って、どのように運用されるのかを細かく文章で規定します。きちんとした業務規程があって初めて、社会から『トラストサービスとして信頼できる』と認められます。また、電子署名法に基づく認定認証業務を行うには、総務省、法務省、経済産業省の三省の認定を受ける必要があります。その認定調査のために指定調査機関に提出する調査表では、数百項目ある要求事項のすべてに回答する必要があります。MINDはこうした規程や書類の作成に関して多くの経験とノウハウを保有しており、独自の認証局を構築したいというお客様へのサポートも行っています」
宮﨑氏はこれまでに携わったサービスの中で印象に残ったものとして、保健医療福祉分野公開鍵基盤(HPKI)を挙げました。HPKIは、医師・薬剤師・看護師など保健医療福祉分野の国家資格と管理者資格を電子的に認証できる証明書です。
「医療従事者が保有するHPKIカードには、電子署名用と電子認証用の両方の証明書が格納されています。これはマイナンバーカードと同様の仕組みなのですが、いち早く新しい取り組みに参画できたことはとても有意義でした」
こうした特定分野向けの認証局の構築では、その分野の業務をしっかりと理解することが必要になります。
「トラストサービスは様々な業界の方が利用されます。時には各業界の慣例、手順などに則したシステムの提案が必要な時もあります。その場合、お客さまの業務がどういう根拠のもとに行われているのか、その背景にある制度や業界標準などを理解する必要があります。また電子化にあたっては、法律やガイドラインに基づく国税関係書類、建築図書、電子処方箋等の文書への適切な電子署名が要求されることがあるため、それらの要求に対応した提案が求められます」
ネットの普及で需要は拡大、テレワークやペーパーレス化がさらに後押し
ネット社会の広がりとともに、トラストサービスへの需要も拡大してきています。
「トラストサービスは10年ほど前からオンラインのセキュリティー用途を中心に需要が高まってきました。要因としてはスマートフォンの普及でネットの利用が大きく拡大したことが挙げられます。最初は利便性を求めてどんどんネットを使うシーンを増やしていった結果、なりすましや情報漏洩といった事件や事故が起こり、きちんとガードする仕組みが必要だということが周知された結果、トラストサービスの需要が増えたのだと思います」
最近では、働き方改革の推進と新型コロナウイルス感染症への対応で、企業のテレワークやペーパーレスへの取り組みが加速しています。社内システムへの安全な接続や電子文書の改ざん防止もトラストサービスの担う役割のひとつです。
「2020年に新型コロナウイルス感染症の拡大により緊急事態宣言が出された際には、すぐには対応しきれないほど急激な需要増がありました。今後、テレワークなどオンラインでビジネスを行うことが当たり前になる中で、トラストサービスの果たす役割は一層重要になると思われます」
トラストサービスをより簡単に利用できるような仕組みを提供
MINDトラストサービスの今後については、多様化するユーザーのニーズに応えるべく、取り扱うトラストサービスのコンポーネントの追加やトラストサービスの活用基盤を整備していきたいと話します。
「MINDトラストサービスでは、電子署名やタイムスタンプをはじめ、すでに多くのコンポーネントを所有しています。新しいコンポーネントとしては、ペーパーレス化に役立つeシールのサービス化を進めています。今後はこれらのコンポーネントを容易に活用できるツールやプラットフォームの提供に注力していきたいと思います。 また、個人的な興味としては、電子署名や認証のコンポーネントの一つであるマイナンバーカード(公的個人認証サービス)をうまく活用して、個人の方々の生活がもっと便利になるような仕組みも考えていきたいと思っています」(宮﨑氏)
- 本記事は、三菱電機インフォメーションネットワーク株式会社 宮﨑 洋光 氏への取材に基づいて構成しています。