★☆★JNSAメールマガジン 第215号 2021.7.9☆★☆
2021/07/09 (Fri) 15:00
★☆★JNSAメールマガジン 第215号 2021.7.9☆★☆
こんにちは
JNSAメールマガジン 第215号 をお届けします。
JNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンはJNSA電子署名WGの政本廣志様にご寄稿いただきました。
【連載リレーコラム】
「デジタル署名検証ガイドライン」の紹介
JNSA 電子署名WG TFリーダー
政本 廣志
様々なサービスが溢れ、種々雑多な情報が飛び交うインターネットにおいて、
これまで利便性のみを追求してきた利用者も、何が本物で、価値のあるものか
を見分けるため、何かを「信頼」したいと考えるようになるでしょう。先日の
PKI & TRUST Days 2021において紹介されたニクラスルーマンによると、「信
頼」は社会的な複雑性を縮減するメカニズム(松本泰氏講演より)とのことで
す。つまり何か限られたものに頼りたいということになるでしょうか。
ゼロトラストの考え方が浸透しはじめているように、境界で全てのリスクを防
御することは現実的ではなく、何かを信頼(トラスト)するための方法も必要
です。情報の信頼のもととなる作成責任と真正性は、アナログ時代においては
「署名」や「押印」によって担保されてきました。デジタル時代においては、
それに相当する技術が「電子署名」です。電子署名自体、ずいぶん以前からあ
る技術で、電子署名法は2001年から施行されていますが必ずしも普及したと
は言えない状態でした。しかし、昨今のコロナ禍で期せずして、デジタル化や
オンライン化の進展とともに、ハンコの意味が問い直される中で、改めて注目
を集めています。脱ハンコとして、形式的な押印文化が見直されようとしてい
ますが、電子署名まで一律に廃止となっては本末転倒です。紙文書に比べて複
製が容易で、拡散スピードも桁違いのデジタルデータには、電子署名の持つ意
味はハンコ以上に大きいと言えます。
ここで注意しなければならないことは、署名や押印をすれば信頼が確立するの
ではなく、受領者が署名や印影を確認できて初めてその情報の真偽や価値が保
証されるということです。しかし、可視データであるアナログの「署名」や
「押印」と違い、「電子署名」は機械処理としての「署名検証」が必要であり、
検証ツール(ソフトウェア)に依存することになります。さらに、電子署名は
様々な要素から構成されており、その判定処理は複雑になります。その判定基
準が検証ツールによって異なると、同じデータに対する判定結果が異なり、信
頼の根拠が揺らぐことになりかねません。そこで、当WGでは、電子署名につ
いて検証の基準、考え方を整理しました。電子署名(electronic signature)にも
様々な方式がありますが、公開鍵暗号技術に基づくデジタル署名(digital signature)
の検証についてまとめたものが、「デジタル署名検証ガイドライン」です。
当ガイドラインでは、デジタル署名の中でも特に規格が整備され、相互運用性、
国際流通性に優れた先進電子署名(AdES)を取り上げています。詳細はガイド
ラインを見ていただくとして、スコープとしては、国際標準として規定された
CAdES、XAdES、PAdES のプロファイルを対象とし、実際に用いられる4つ
のフォーマット(AdES-BES、AdES-T、AdES-X-Long、AdES-A)について検
証の処理を網羅しています。
また署名検証は、署名を付与して一定期間経過した後に行われる行為であるこ
とに着目してみると、いつ時点における署名の有効性を確認するのか、その時
刻の設定によっては、証明書の失効や暗号アルゴリズムの脆弱化などの要因に
より、検証結果に影響を及ぼすことが考えられるため、時刻の観点は重要です。
署名の有効性を検証する時刻を「検証基準時刻」と定義して、その時刻におけ
る検証の観点を中心に解説しています。なお、当ガイドラインでは技術的な事
項について述べつつ、背景や経緯を示すエピソードなどをコラムとして挿入す
ることで、実際の利用状況との関係を理解し易くなるように配慮しました。
署名検証を用いるシステムやサービスを開発する方、あるいは調達する方、さ
らには署名に関するサービスを利用する方も、ぜひご一読いただきたいと思い
ます。
電子署名を含むトラストを巡る技術はこれからも発展を続けると思われます。
それらをフォローし、適切な利用・普及を推進していく、そのような活動に
JNSA電子署名WGや、JT2A(日本トラストテクノロジー協議会)では取り組
んでいるところです。賛同される方、あるいは興味を持たれた方はぜひご参加
ください。
[署名検証ガイドライン]
https://www.jnsa.org/result/e-signature/2021/index.html
https://www.jnsa.org/result/e-signature/data/e-signature-guideline_v1.0_20210331.pdf
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジン第215号の感想をお寄せください。
https://ux.nu/otUAr
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★調査研究部会セキュリティ市場調査WGによる
「2020年度 国内情報セキュリティ市場調査報告書」公開しました。
https://www.jnsa.org/result/2021.html
★SECCON2021「シェルコード解析入門とそのDFIRハンドリング」
ワークショップの詳細と参加者募集しております。
https://www.seccon.jp/2021/
【事務局からのお知らせ】
★JNSA会報誌「JNSA Press vol.50」を発行いたしました。
各企業様の連絡ご担当者様宛に発送しております。
お手元に届きましたらご一読いただけますと幸いでございます。
https://www.jnsa.org/jnsapress/vol50/index.html
★JNSAソリューションガイドでは、会員企業が
開催するオンラインイベント/セミナー情報をご覧いただけます。
https://www.jnsa.org/JNSASolutionGuide/IndexAction.do
★無料でご利用いただけます!「情報セキュリティ理解度チェックサービス」
https://slb.jnsa.org/eslb/
組織の情報セキュリティ向上のための一助としてご活用下さい。
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。ご注意ください。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
office@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第215号
発信日:2021年7月9日
発 行:JNSA事務局 office@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第215号 をお届けします。
JNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンはJNSA電子署名WGの政本廣志様にご寄稿いただきました。
【連載リレーコラム】
「デジタル署名検証ガイドライン」の紹介
JNSA 電子署名WG TFリーダー
政本 廣志
様々なサービスが溢れ、種々雑多な情報が飛び交うインターネットにおいて、
これまで利便性のみを追求してきた利用者も、何が本物で、価値のあるものか
を見分けるため、何かを「信頼」したいと考えるようになるでしょう。先日の
PKI & TRUST Days 2021において紹介されたニクラスルーマンによると、「信
頼」は社会的な複雑性を縮減するメカニズム(松本泰氏講演より)とのことで
す。つまり何か限られたものに頼りたいということになるでしょうか。
ゼロトラストの考え方が浸透しはじめているように、境界で全てのリスクを防
御することは現実的ではなく、何かを信頼(トラスト)するための方法も必要
です。情報の信頼のもととなる作成責任と真正性は、アナログ時代においては
「署名」や「押印」によって担保されてきました。デジタル時代においては、
それに相当する技術が「電子署名」です。電子署名自体、ずいぶん以前からあ
る技術で、電子署名法は2001年から施行されていますが必ずしも普及したと
は言えない状態でした。しかし、昨今のコロナ禍で期せずして、デジタル化や
オンライン化の進展とともに、ハンコの意味が問い直される中で、改めて注目
を集めています。脱ハンコとして、形式的な押印文化が見直されようとしてい
ますが、電子署名まで一律に廃止となっては本末転倒です。紙文書に比べて複
製が容易で、拡散スピードも桁違いのデジタルデータには、電子署名の持つ意
味はハンコ以上に大きいと言えます。
ここで注意しなければならないことは、署名や押印をすれば信頼が確立するの
ではなく、受領者が署名や印影を確認できて初めてその情報の真偽や価値が保
証されるということです。しかし、可視データであるアナログの「署名」や
「押印」と違い、「電子署名」は機械処理としての「署名検証」が必要であり、
検証ツール(ソフトウェア)に依存することになります。さらに、電子署名は
様々な要素から構成されており、その判定処理は複雑になります。その判定基
準が検証ツールによって異なると、同じデータに対する判定結果が異なり、信
頼の根拠が揺らぐことになりかねません。そこで、当WGでは、電子署名につ
いて検証の基準、考え方を整理しました。電子署名(electronic signature)にも
様々な方式がありますが、公開鍵暗号技術に基づくデジタル署名(digital signature)
の検証についてまとめたものが、「デジタル署名検証ガイドライン」です。
当ガイドラインでは、デジタル署名の中でも特に規格が整備され、相互運用性、
国際流通性に優れた先進電子署名(AdES)を取り上げています。詳細はガイド
ラインを見ていただくとして、スコープとしては、国際標準として規定された
CAdES、XAdES、PAdES のプロファイルを対象とし、実際に用いられる4つ
のフォーマット(AdES-BES、AdES-T、AdES-X-Long、AdES-A)について検
証の処理を網羅しています。
また署名検証は、署名を付与して一定期間経過した後に行われる行為であるこ
とに着目してみると、いつ時点における署名の有効性を確認するのか、その時
刻の設定によっては、証明書の失効や暗号アルゴリズムの脆弱化などの要因に
より、検証結果に影響を及ぼすことが考えられるため、時刻の観点は重要です。
署名の有効性を検証する時刻を「検証基準時刻」と定義して、その時刻におけ
る検証の観点を中心に解説しています。なお、当ガイドラインでは技術的な事
項について述べつつ、背景や経緯を示すエピソードなどをコラムとして挿入す
ることで、実際の利用状況との関係を理解し易くなるように配慮しました。
署名検証を用いるシステムやサービスを開発する方、あるいは調達する方、さ
らには署名に関するサービスを利用する方も、ぜひご一読いただきたいと思い
ます。
電子署名を含むトラストを巡る技術はこれからも発展を続けると思われます。
それらをフォローし、適切な利用・普及を推進していく、そのような活動に
JNSA電子署名WGや、JT2A(日本トラストテクノロジー協議会)では取り組
んでいるところです。賛同される方、あるいは興味を持たれた方はぜひご参加
ください。
[署名検証ガイドライン]
https://www.jnsa.org/result/e-signature/2021/index.html
https://www.jnsa.org/result/e-signature/data/e-signature-guideline_v1.0_20210331.pdf
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジン第215号の感想をお寄せください。
https://ux.nu/otUAr
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★調査研究部会セキュリティ市場調査WGによる
「2020年度 国内情報セキュリティ市場調査報告書」公開しました。
https://www.jnsa.org/result/2021.html
★SECCON2021「シェルコード解析入門とそのDFIRハンドリング」
ワークショップの詳細と参加者募集しております。
https://www.seccon.jp/2021/
【事務局からのお知らせ】
★JNSA会報誌「JNSA Press vol.50」を発行いたしました。
各企業様の連絡ご担当者様宛に発送しております。
お手元に届きましたらご一読いただけますと幸いでございます。
https://www.jnsa.org/jnsapress/vol50/index.html
★JNSAソリューションガイドでは、会員企業が
開催するオンラインイベント/セミナー情報をご覧いただけます。
https://www.jnsa.org/JNSASolutionGuide/IndexAction.do
★無料でご利用いただけます!「情報セキュリティ理解度チェックサービス」
https://slb.jnsa.org/eslb/
組織の情報セキュリティ向上のための一助としてご活用下さい。
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。ご注意ください。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
office@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第215号
発信日:2021年7月9日
発 行:JNSA事務局 office@jnsa.org
*************************************