技術者でなくても分かる電子証明書と PKI 入門

E

P

A

P

E

R

:

White Paper

技術者でなくても分かる電子証明書と PKI 入門

（実践編）

2

Copyright ©2014 Symantec Corporation. All rights reserved.　Symantec と Symantec ロ ゴ は、 Symantec Corporation または関連会社の米国およびその他の国における登録商標です。その他の会社名、製 品名は各社の登録商標または商標です。 合同会社シマンテック・ウェブサイトセキュリティは、本書の情報の正確さと完全性を保つべく努力を行っています。 ただし、合同会社シマンテック・ウェブサイトセキュリティは本書に含まれる情報に関して、（明示、黙示、または法 律によるものを問わず）いかなる種類の保証も行いません。合同会社シマンテック・ウェブサイトセキュリティは、 本書に含まれる誤り、省略、または記述によって引き起こされたいかなる（直接または間接の）損失または損害に ついても責任を負わないものとします。さらに、合同会社シマンテック・ウェブサイトセキュリティは、本書に記述さ れている製品またはサービスの適用または使用から生じたいかなる責任も負わず、特に本書に記述されている製品 またはサービスが既存または将来の知的所有権を侵害しないという保証を否認します。本書は、本書の読者に対し、 本書の内容に従って作成された機器または製品の作成、使用、または販売を行うライセンスを与えるものではあり ません。最後に、本書に記述されているすべての知的所有権に関連するすべての権利と特権は、特許、商標、ま たはサービス ･ マークの所有者に属するものであり、それ以外の者は、特許、商標、またはサービス ･ マークの所 有者による明示的な許可、承認、またはライセンスなしにはそのような権利を行使することができません。 合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更する権利を 持ちます。

CONTENTS

第 11 話：SSL 暗号化通信が行われているかを確認するには？

4

SSL 通信 4 サーバ証明書を確認するには？ 5 ノートン ™ セキュアドシールについて 6

第 12 話：テスト用電子証明書を無料で申請するには？

7

電子認証をデモページで試してみよう 7 電子証明書を申請しよう 8 電子証明書をインストールしよう 9 正しくインストールされたか確認しよう 11 携帯電話でも使える電子証明書の取得 12

第 13 話：電子メールの暗号化と電子署名を行うには？

13

電子メールの暗号化と電子署名を実現する S/MIME 13 メールソフトが S/MIME に対応していることの確認 13 S/MIME の準備をする 14 電子署名付きのメッセージを送信する 15 暗号化したメッセージを送信してみよう 17

第 14 話：公開鍵基盤（PKI）とは？

19

インターネットはバーチャルの世界？ 19 紙の書類を電子データとして保管可能に 20 電子署名は実印と同じ効力を持つ 20 税金の申告や納税を支える電子証明書 22 PKI って何だろう？ 22

4

第 11 話：SSL 暗号化通信が行われているかを確認するには？

ウェブサイトでは「ウェブサーバ」のソフトウェアが稼動してお り、ユーザ側のパソコンなどで利用するウェブブラウザ ( クライア ントといいます ) とデータ通信を行っています。このとき、ウェブ サーバとクライアントの間では「HTTP （HyperText Transfer Protocol)」という通信規約 ( プロトコル ) により、データのやり とりが行われます。 「HTTP」では、情報を暗号化する機能を持っていないため、重 要な内容が無防備なままやり取りされてしまうことになります。そ こで、米国 Netscape Communications 社が、ウェブサーバ とクライアント間で行われる重要な情報を暗号化して通信を行うた めのプロトコルを開発しました。

これが 「SSL（Secure Socket Layer）」と呼ばれるものです。

SSLは電子証明書を使ってサーバの実在を確認したり、サーバと クライアント間の通信を暗号化したりするプロトコルなので、多く のウェブサーバで利用されています。 「SSL のことはなんとなくわかったけど、そ れが行われているウェブサイトとそうでない ところでは、どのように見分ければいいん だろう。」 では、それをシマンテックのホームページを参考にして見てみましょ う。

SSL 通信

下の図をご覧ください。シマンテックのホームページがあります。 http://... 鍵マークなし http://www.symantec.com/ja/jp/ このページをみてわかるのは、URL の文頭を見てみると「http:// ～」という文字になっているということです。また、画面上部のア ドレスバーには何も表示されていません。これが「HTTP」で通 信をしている状態です。 「では、SSL 暗号化通信をしている場合に はどうなるんだろう。」 https://... 鍵マークが表示されます https://www.symantec.com/ja/jp/ URL を確認すると、「https:// ～」となっているのがわかります。 また、画面上部のアドレスバーを見ると、小さな「錠マーク」が でていることがわかると思います。

サーバ証明書を確認するには？

「https:// ～」となっているページで表示された「錠マーク」を クリックして詳細の表示をしたら、「証明書の表示」をクリックす ると、電子証明書を確認することができます。 この画面が表示されたら、次の 3 点を確認してください。 発行先 アクセスしたサイトのURLと、_ること。 ドメイン名が一致してい 発行者 信頼できる認証局が記載されていること。 有効期間 期限切れになっていないこと。 www.symantec.com www.symantec.com 一致している 「詳細」のタブをクリックすると、中ほどの白いウィンドウの中に「サ ブジェクト」という項目があるので、それをクリックしてください。 「O」にアクセスしているサイトの運営主体者名が表示されている ことを確認してください。 シマンテックの場合は O = Symantec Corporation となります。 このように、「https:// ～」と「錠マーク」が表示されているこ とを確認し、「錠マーク」をクリックして詳細の表示をしたら、「証 明書の表示」をクリックすると、電子証明書を確認できれば、「SSL 暗号化通信をしている」ということを目で見て確認することができ るのです。 「なるほど。こうすれば電子証明書の検証が できるんだね。でももうちょっと簡単になら ないかな？」

Internet Explorer や Mozilla Firefox など、通常のブラウザは、 発行先、発行者、有効期間を自動的に検証する機能を持っていま す。

6 サイトの信頼性の問題がある場合、例えば次のような警告メッセー ジが表示されます。 このようなブラウザの警告メッセージが出たら、前述の方法で電子 証明書を検証してみて下さい。 検証の結果怪しいと感じたら、そのサイトへアクセスしない事をお すすめします。

ノートン™セキュアドシールについて

また、シマンテック サーバ ID の購入者には「ノートン ™ セキュ アドシール」を提供しています。 シマンテック サーバ ID を取り入れたサイトに表示させることで、 ユーザは簡単にサーバ証明書を検証できるようになります。ユー ザはノートン ™ セキュアドシールをクリックすると、シールを掲載 しているウェブサイトの情報を一目で確認できます。 「このシールをクリックしても電子証明書を 簡単に確認できるんだね。」 ノートン ™ セキュアドシールの詳しい説明は下記の URL をご参照 ください。 h t t p s : / / k n o w l e d g e . v e r i s i g n . c o . j p / s u p p o r t / s s l -certificates-support/index?page=content&id=SO23014

ノートン™セキュアドシール

powered by Symantec

• SSLは広く普及しており、ほとんどのブラウザで利用で きます。 • SSLはウェブサーバとクライアント間で行われる重要な 情報を暗号化して通信を行うことができます。 • SSL通信を行っているかどうか、ウェブサイトのURLが 「https://～」になっていること、また、ブラウザのアド レスバーに「錠マーク」が表示されていることで判断で きます。 • ノートン™セキュアドシールをクリックすると、シマンテッ ク サーバIDの検証ができます。 • SSLは広く普及しており、ほとんどのブラウザで利用で きます。 • SSLはウェブサーバとクライアント間で行われる重要な 情報を暗号化して通信を行うことができます。 • SSL通信を行っているかどうか、ウェブサイトのURLが 「https://～」になっていること、また、ブラウザのアド レスバーに「錠マーク」が表示されていることで判断で きます。 • ノートン™セキュアドシールをクリックすると、シマンテッ ク サーバIDの検証ができます。

第 12 話：テスト用電子証明書を無料で申請するには？

これまでは主に電子証明書のしくみなどに関して説明してきまし た。

今回は、実際に電子証明書を取り入れるための手順を具体的に説 明します。

シマンテックでは「Digital ID for Secure Email 25 days -- free」として 25 日間無料で電子証明書を提供しています。

「Digital ID for Secure Email 25 days -- free」はテスト用 ID のためサポート対象外となります。

「Digital ID for Secure Email 25 days -- free」を使うと、

メールの電子署名や暗号化、電子認証を実際に試してみることが できます。電子認証とは、「電子署名」と「電子証明書」を使って、 電子の世界における印鑑と印鑑証明書に基づいた本人確認を実現 する技術です。

電子認証を試してみよう

電子証明書で認証をしているサイトに、電子証明書が無いパソコン でアクセスすると、 「おや、《接続に失敗しました。(403)》 と、 エラー画面になってしまうみたいだ。」 エラー画面が表示されるのは、お使いのパソコンにまだ電子証明 書が取り込まれていないために、認証されなかったからです。電 子証明書を取得すれば、エラー画面は表示されず正しく認証され るはずです。 取得にあたっては、次の三つのステップが必要となります。 1. 電子証明書の申請 2. 電子証明書のインストール 3. 問題なくインストールされたかどうかの確認

8

電子証明書を申請しよう

今回は Windows 版の Internet Explorer を使った取得の手順 を説明します。また、電子証明書を用いた電子メールの暗号化や 電子署名を行うソフトウェアとして、Outlook 2010 を使うもの とします。

1．

「Digital ID for Secure Email 25 days --

free」 取得用ページにアクセスする

はじめに、下の URL にアクセスしてみてください。 http://www.symantec.com/digital-id テスト用 ID を取得する手順は、購入用の ID 取得手順と同じです。 申請ページは購入用もテスト用も同じ画面ですが、製品を選択す る項目でテスト用を選ぶようにします。 以下の画面が表示されたら、画面右部の「Buy Online」をクリッ クしてください。 ここをクリック

2. 電子証明書の取得に必要な申請情報を送る

「Buy Online」をクリックすると、別ウィンドウが開き、以下のよ うな画面が表示されるので、必要事項を入力していきます。 暗号化通信で使用したい 電子メールアドレスを入力 25days - free を選択 「E-mail Address」には、実際に電子メールの暗号化や署名に 使用するためのメールアドレスを入力してください。このメールア ドレス宛に、米国シマンテックからテスト用 ID の取得についての メールが届きます。

「Validity period」は、「25 days - free」にチェックマークを つけます。 入力内容を確認した後、「Next」をクリックします。 以下の画面が表示されます。 前の画面で入力した電子メ ールアドレスが表示される Yesを選択

「Symantec Digital ID Subscriber Agreement*」欄の「Yes」 にチェックマークを付けると下記の画像のように、規約画面がポッ プアップで出てきますので規約の内容をご確認の上、「Accept」 をクリックします。

ACCEPTを選択

以下のような画面が表示されれば、申請手続きは完了です。

電子証明書をインストールしよう

「申請情報と公開鍵が送られたみたいだけ ど、このあとはどうすればいいんだろう。」 申請手続きが完了しておおむね一時間以内に、米国シマンテック （do-not-reply@pki.symantec.com）からメールが送られてき ます。このメールには電子証明書のインストールに必要な情報が 記載されています。

1. 電子メールを確認する

申請したメールアドレスに米国シマンテックからのメールが届いた ら、そのメールを開いて指定された URL にアクセスします。

1

2

以下の画面が表示されます。 「Access Code」はすでに入力済の画面が表示されますので、 ②のメールに記載されている「Password」を入力して、「Log In」をクリックします。

以下の画面が出てきます。Cryptographic Service Provider は Windows で Internet Explorer を利用の方は選択肢をそ のまま選び、Key Length もそのまま 2048 を選んだ状態で 「Generate」をクリックします。

10

2. 秘密鍵を生成する

秘密鍵と公開鍵の生成を確認するメッセージが表示されます。 「はい」をクリックすると自動的に鍵ペアが作られ、公開鍵が米国 シマンテックに送信されます。 秘密鍵を管理するときのセキュリティ強度を選ぶ画面が表示される ので、そのまま「OK」をクリックするか、希望するセキュリティレ ベルに変更して「OK」をクリックしてください。

3. 電子証明書をインストールする

以下のような画面が表示されれば、申請手続きは完了です。 Install Certificateをクリック 「Install Certificate」をクリックすると先ほど送信した公開鍵に 署名が施されて出来上がった証明書がインストールされます。 以下の画面が表示されますので、「はい」をクリック。 成功すると、以下のような画面が表示されます。これで署名所が インストールされました。

正しくインストールされたか確認しよう

電子証明書の申請からインストールまでの手順が完了したので、 正しくインストールされたかをさっそく確認してみましょう。

1. Internet Explorer で確認する

Internet Explorer の、[ ツール ]-[ インターネットオプション ]-[ コ ンテンツ ]-[証明書] で、[ 個人 ] のタブに下の画面と同じ電子証 明書が一つ追加されていることを確認します。 以上で、電子証明書の取得とインストールは終了です。 それでは一番初めに確認したページをもう一度見てみると、 今回は下のように正常に画面が表示されます。

現在上記のサイトにて「Digital ID for Secure Email 25 days -- free」を用いたログイン認証をサービス終了しておりますので、アクセスし ても 403 エラーとなります。上記の画面はサービス提供をしていた時のも のです。 「以前にアクセスしたときとは別の画面が表 示されたね。この仕組みを利用すれば ID/ パスワードを使わなくてもユーザ認証でき るサイトを作れるんだね。」

12

携帯電話でも使える電子証明書の取得

パソコンでの証明書入手方法について説明してきましたが、最新 の au などの携帯電話で使える電子証明書の取得も可能です。携 帯電話でのユーザ認証などが、より簡単に行えるようになっていま す。 携帯電話での電子証明書のサービスや取得方法に関するお問い合 わせについては、各社までお願いします。

Security Pass（au / KDDI )

http://www.kddi.com/business/service/mobile/ security_pass/index.html 「携帯電話でも使えるなんて便利だね。僕 もアクセスしてみようかな」 • 電子証明書を取得するには、信頼できる認証局への申請 とインストールが必要です。 • 米国シマンテックの「テスト用Class1 Digital ID」は、 メールの電子署名や暗号化、電子認証を無料で試すこと ができる電子証明書です。 • 電子証明書を取得することができる携帯電話もありま す。 • 電子証明書を取得するには、信頼できる認証局への申請 とインストールが必要です。 • 米国シマンテックの「テスト用Class1 Digital ID」は、 メールの電子署名や暗号化、電子認証を無料で試すこと ができる電子証明書です。 • 電子証明書を取得することができる携帯電話もありま す。

第 13 話：電子メールの暗号化と電子署名を行うには？

第 12 話では、電子認証を体験するために電子証明書（Digital ID for Secure Email 25 days -- free）を取得しました。

今回は、その時に登録した電子メールアドレスと電子証明書を使っ て、電子メールの暗号化と電子署名を体験してみましょう。

電子メールの暗号化と電子署名を

実現する S/MIME

電 子メー ルの 送 受 信では、SMTP（Simple Mail Transfer Protocol）と POP（Post Office Protocol）というプロトコル が使用されます。SMTP と POP を利用した電子メールでは、ウェ ブサイトで使われている HTTP のように、メッセージが平文のま ま送受信が行われています。つまり、そのままだと盗聴やなりすま し、改ざんなどが技術的に可能なのです。

そこで、このような電子メールの技術的問題を解決するために 開発されたのが「S/MIME(Secure Multipurpose Internet Mail Extensions)」です。 S/MIME は、電子証明書を利用することで、メールの本文を暗号 化して盗聴を防いだり、電子署名をしてなりすましや改ざんなどを 防いだりすることができます。

メールソフトが S/MIME に

対応していることの確認

S/MIME を使うには、送信者と受信者の両方が S/MIME に対応 しているメールソフトを利用している必要があります。 S/MIME に対応していれば、お互いのメールソフトが異なってい てもかまいません。 メールソフトは種類が豊富で、S/MIME に対応しているものと対 応していないものがあります。 メールソフトのヘルプに「暗号化」と入力し、S/MIME に関する 内容があるかどうか調べたり、開発元サイトの情報を見たりして確 認してください。メールソフトによってはプラグインソフト ( アプリ ケーションソフトに機能追加するための専用プログラム ) が必要な 場合もあります。 S/MIME に 対 応して い るメ ー ル ソフトとして は、「Outlook Express」、「Windows Live メール」、「Microsoft Outlook」、 「Thunderbird」などが挙げられます。 「いつも使っている Windows Live メール も対応しているのか。電子メールを送る相 手にもメールソフトが S/MIME 対応か確認 が必要だね。」 送信したい相手のメールソフトが S/MIME に対応していることを 確認したら、お使いの Windows Live メールに S/MIME を利用 する準備が整っているかを確認しましょう。

14

S/MIMEの準備をする

Windows Live メールで「デジタル ID」と呼んでいるものが、 電子証明書に相当します。 電子署名を行う前に、自分の電子証明書が Windows Live メー ルで利用可能になっているかを確認しておきます。電子署名は、 自分の電子証明書があればできます。送信したい相手の電子証明 書は不要です。

1． 電子証明書がインストールされているかを

確認する

Windows Live メールの [ ツール ] → [ セキュリティのオプション ] を選択します。次に [ セキュリティ ] タブをクリックすると、下のよ うな画面が表示されます。 [ デジタル ID] ボタンをクリックすると、下のような画面で電子証 明書の一覧が表示されます。 [ 個人 ] タブで自分の電子証明書がリストに追加されていることを 確認してください。

2． Windows Live メールに設定されている

電子メールアドレスを確認する

Windows Live メールの [ ツール ] → [ アカウント ] を選択します。 次にアカウントを選択して [ プロパティ ] ボタンをクリックすると、 プロパティ画面が表示されます。

3． Windows Live メールで証明書が

設定されているかを確認する

次に「セキュリティ」タブをクリックしてください。署名と暗号に 使用する電子証明書（公開鍵）を選択できる画面が表示されます。 証明書はすでに選択されていますが、念のために正しく選択され ているかどうか確認してみましょう。

[ 署名の証明書 ] の [ 選択 ] ボタン、または [ 暗号化の設定 ] の [ 選 択 ] ボタンをクリックすると、下のような画面が表示されます。使 用する電子証明書を選択し、[ 証明書のプロパティを表示します ] をクリックしてください。

下のように、電子証明書が表示されるので、発行者が「VeriSign Class1 Individual Subscriber-Persona Not Validated（第 12 話で取得した証明書）」となっていることを確認してください。 以上でS/MIME の準備は完了です。 以上の 1 ～ 3 までの作業は、初めて電子証明書を利用するとき に一度おこなうだけでかまいません。

電子署名付きのメッセージを送信する

さっそく電子署名付きのメッセージを送信してみましょう。以下の 作業は、電子署名付きメッセージを送信する都度行う必要がありま す。

1．作成したメッセージに電子署名を付ける

Windows Liveメールで「デジタル署名」と呼んでいるものが、電 子署名に相当します。相手に送るメッセージを作成した後、メッセー ジを作成する画面のメニューから[ツール]→[デジタル署名]を選 択してください。 画面右上に「青いリボンのマーク」が表示されます。 青いリボンのマークが 表示されます

2．電子署名付きのメッセージを送信する

[送信]ボタンをクリックします。 送信が完了します。 電子署名付きのメッセージを送信すると、自分のメッセージと共に 電子証明書と公開鍵が送信先に送られます。メッセージの受信者は あなたの公開鍵を受け取ったので、今後あなた宛にメールを送信 する時に、あなたの公開鍵を使って暗号化することができるように なります。 メールを暗号化して送信する方法については、後ほど説明します。 「電子署名付きのメッセージは送信できたみ たいだけど、受信した相手にはどんなふう に見えるんだろう。」

16 以下の図を見てください。「このメッセージは送信者によってデジ タル署名されています」と文頭に記載されていることが確認でき ます。 [ 続行 ] ボタンをクリックすると、メールの本文を読むことができま す。 「こういうメッセージを受け取ったら、電子 証明書の内容を見て相手が本物かどうかを 確認すればいいんだね。でも、相手が本物 だったとして、もしメッセージが改ざんされ ていたらどういうふうになるのかな。」 電子署名付きのメッセージが改ざんされていた場合、以下のよう な画面が表示され、改ざんが検知されたことを警告してくれます。 「こんな画面が出たら、メッセージが改ざん されているとすぐに判断できるね」

暗号化したメッセージを送信してみよう

今度は、秘密にしたいメッセージを相手に送ってみましょう。

1． 送りたい相手の公開鍵

（電子証明書に含まれている）を入手する

暗号化したメッセージを相手が読めるようにするには、第 8 話（「技 術者でなくても分かる電子証明書と PKI 入門」応用編）で説明し たとおり、相手の公開鍵で暗号化しなければなりません。つまり「送 信したい相手の電子証明書に含まれる公開鍵が必要」ということ になります。 今回は暗号化に先立ち、送りたい相手に電子署名付きのメッセー ジを送ってもらうよう依頼している場合を例にして説明します。 電子署名付きのメッセージを受け取ったら、電子証明書を自分の パソコンに取り込んでおきます。Windows Live メールの場合で あれば、受け取ったメッセージの電子メールアドレスをアドレス帳 に登録することでパソコンに取り込まれます。

2．作成したメッセージを暗号化する

相手に送るメッセージを作成した後、メッセージを作成する画面の メニューから[ ツール ] → [ 暗号化 ]を選択してください。 画面右上に「青い錠のマーク」が表示され、暗号化したメッセー ジとして送信できる状態になります。

3．暗号化したメッセージを送信する

「暗号化したメッセージを受信した相手に は、どんなふうに届くんだろう。」 暗号化されたメッセージを正当な相手が受け取ると、以下のような 画面が表示されます。 文頭に「青い錠のマーク」が表示されていることから、暗号化が 行われていることが確認できます。 [ 続行 ] ボタンをクリックすると、メッセージが復号化され本文を読 むことができます。

18 「本来の相手ではない人が暗号化された メッセージを受け取ると、どういうふうに見 えるのかな。」 正当でない受信者が暗号化されたメッセージを受け取った場合に は、Windows Live メールでは以下のようなメッセージが表示さ れ、本文を読むことができません。 また、メールソフトによっては、暗号化されたままの状態で見える ものもあります。このように「電子メールの暗号化」を行うことで、 通信内容の秘密が守られるわけです。 今回は電子署名と暗号化をそれぞれ別の作業として説明しました が、同時に行うこともできます。同時に行うと、盗聴、なりすまし、 改ざんを防ぐことができます。 「そうか。暗号化をすることで盗聴が防げる んだね。さらになりすましや改ざんも防ぐた めには署名を一緒に行えばいいんだね。」 • S/MIME を利用するには、送信者と受信者のメールソ フトがそれぞれ S/MIME に対応している必要がありま す。 • S/MIME で電子メールの暗号化を行うには、送信者し たい相手の公開鍵が必要です。 • 電子署名を利用することで、改ざんの検知が行えます。 • 送信する相手の公開鍵は、送信する相手の電子証明書 に含まれています。電子メールの暗号化を行うには、 相手に電子証明書を送ってもらうか、リポジトリからダウ ンロードする必要があります。 • S/MIME を利用するには、送信者と受信者のメールソ フトがそれぞれ S/MIME に対応している必要がありま す。 • S/MIME で電子メールの暗号化を行うには、送信者し たい相手の公開鍵が必要です。 • 電子署名を利用することで、改ざんの検知が行えます。 • 送信する相手の公開鍵は、送信する相手の電子証明書 に含まれています。電子メールの暗号化を行うには、 相手に電子証明書を送ってもらうか、リポジトリからダウ ンロードする必要があります。

第14話：公開鍵基盤（PKI）とは？

インターネットは、1990 年代中頃から急速に普及し、私たちの 生活を大変便利で快適なものにしてくれるインフラとなっていま す。 インターネットはとても便利なものですが、「なりすまし」や「改 ざん」、「盗聴」、そして「事後否認」といった危険性があることも 事実です。私たちは今まで、インターネットにひそんでいる危険 性とは何か、そして危険性から身を守るための方法や技術につい て学んできました。

PKI･･･？

公開鍵基盤･･･？

P K I

それでは最後に、今まで説明した様々な技術をくみあわせた仕組 み「PKI（公開鍵基盤）」について説明します。

インターネットはバーチャルの世界？

高性能で簡単に操作できるパソコン、携帯電話の普及、安価なブ ロードバンド回線による常時接続環境の整備などが、インターネッ トの普及に拍車をかけました。 今やインターネットを利用することは、生活と密着したものになり つつあります。もはやインターネットはかつて言われていたような、 仮想現実（バーチャル）の世界ではなく、現実の世界の一部とい えるでしょう。 しかし、インターネットには、現実の世界とは異なる特徴があります。 それは、匿名性が高いということです。インターネットを利用する 人は、自分の本名や電話番号などを明かさずに情報をやりとりす ることができます。 たとえば、送信元を偽って配信されるフィッシング詐欺のメールや、 正規のユーザーになりすました不正アクセスなどは、インターネッ トの匿名性を悪用したものです。 「このような危険性から身を守るのには、電 子証明書が有効だね。」 「SSL、S/MIME、電子認証などの技術」＋「電子証明書」の組 み合わせによって、現実の世界で行われている、銀行口座の開設 や、契約書への捺印といった、本人確認が必要な作業も、インター ネットでも行えるようになりました。 電子証明書とは、いわば「インターネットの脱・匿名化」の技術 とも言えます。 電子証明書は、それまではインターネットの匿名性により、実現が 困難だったサービスも提供できるようにし、インターネットででき ることをさらに広げつつあるのです。 「技術的に安全なことはよくわかったけど、 それはインターネットの世界だけの話なの かな？たとえば、今まで紙で保管していた 文書を、電子証明書の技術を使って、電子 データで安全に保管することはできないの かな？」

20

紙の書類を電子データとして保管可能に

e-文書法

企業などでは、法人税などの申告にあたり、出金の証拠となる請 求書や領収証を一定の期間保管しなければならないことになって います。 こういった書類は、紙に印刷されているものがほとんどで、書類 の管理にかかるコストは企業にとって大きな負担となります。 「第 23 回 IT 戦略本部 議事録」によると「経団連の試算では税 務書類の保管コストは年間約 3,000 億円」と報告されています。 http://www.kantei.go.jp/jp/singi/it2/dai23/23gijiroku. html 紙の書類を電子データ化したとしても、紙での保管が法律で義務 づけられている以上、紙の書類を保管し続けなければならないこ とは変わりません。 重要書類 保管しなきゃいけない書類が たくさんあるよ・・・ 電子データで保存できれば 便利なのに・・・ 「紙の書類と電子データを両方保管しなけ ればならないのは面倒だね。電子データだ けを保管すればいいってことにはならない のかな？」 そこで、紙での保管が義務づけられている書類を一定の要件を満 たしていれば電子データとして保管してもよいということを定めた のが、2005 年 4 月に施行された「e- 文書法（通称）」です。 この法律のおかげで、電子データ化された書類も、紙の書類と同 じく「原本とみなされる」ようになりました。また、最初から電子 データになっている書類であっても同様に原本として扱われること になりました。 「e- 文書法って、画期的な法律なんだね。 この法律が謳っている一定の要件ってどん なものなのかな。」 e- 文書法の主旨は「保管が義務づけられている書類を電子デー タとして保管してもよい」ということで、電子データとして保管し てもよい書類が何か、どのような手順で電子データ化するかは規 定されていません。対象となる書類や電子データ化の具体的手順 などは、書類保管の根拠となる法令や省令によって定められます。 改ざん防止などのために、作成者による電子署名が求められる書 類の場合には、電子証明書が必要になります。詳しくは、主務省 庁のウェブサイトなどで確認してください。

電子署名は実印と同じ効力を持つ

電子署名法

電子署名を行うと、その電子データの内容を誰が作成や承認を行っ たのかを調べることができるようになります。 つまり電子署名は、現実の世界で「書類に押印する」ことと同じ 意味を持ちます。 実社会では、一般に「書類に押された印影＝印鑑の所有者が承認 した証し」とみなされます。これと同じように、電子署名がされた 電子データは、電子署名をした人（つまり本人）が承認したもの とみなされます。 「電子署名がされていれば何でも法的な効 力があるの？そうだとしたらずいぶん危なっ かしいね。」 現実の世界と比較しながら、この辺を説明していきましょう。

不動産売買契約を行う場合など、重要な契約書には印鑑を押す局 面では、地方自治体に印影を登録した印鑑（いわゆる実印）を用い、 その自治体によって発行された「印鑑登録証明書」を添付します。 こうすることで、契約書上の印影は印鑑登録証明書によって本人 が承認した厳格な証しであることがわかるのです。 電子署名の場合はどうでしょう。 電子署名が「印を押す」ことだとしたら、印鑑登録証明書に相当 するのが「電子証明書」です。 しかし、電子署名は印鑑を押すのと同じく誰にでもできますし、電 子証明書の仕様は公開されていますから、技術的には誰でも発行 することができます。電子署名が実印や印鑑登録証明書と同様に 扱われるようにするためには、法的効力がある電子署名の要件を 定めた法律の整備が必要になります。 そこで、2001 年 4 月から「電子署名及び認証業務に関する法 律（略称：電子署名法）」という法律が施行されました。 この法律では、「電磁的記録（電子文書等）は、本人による一定 の電子署名が行われているときは真正に成立したものと推定する」 旨が謳われています。つまり、一定の要件を満たしていれば、電 子署名に法的効力を持たせることを意味しているわけです。 「一定の電子署名ってどういう意味なのか な？」 電子署名法で定められる「一定の電子署名」とは、次の二つの要 件を満たすものです。 • 当該情報が当該措置を行った者の作成に係るものであることを 示すためのものであること。 • 当該情報について改変が行われていないかどうかを確認するこ とができるものであること。 電子証明書を使った電子署名は、この二つの要件を両方満たすこ とができます。 なぜならば、一つめの要件は、文書作成者が秘密鍵を使って暗号 化することであり、二つめは文書のメッセージダイジェストをとるこ とと同じ意味を持つからです。 「どんな電子証明書でもいいの？」 電子署名が法的に有効であるためには、これら二つの要件に加え て、電子証明書を発行する認証局が厳格な基準に基づき運用さ れていることが必要です。 電子署名法では、認証局の行う業務のうち、電子署名の安全性確 保や本人確認といった、登録局としての役割を「特定認証業務」 と呼んでいます。特定認証業務は、国が認定した認証局のみが行 えます。 特定認証業務を行う認証局は、セキュリティの高い設備を使用して いるか、本人確認方法は適切か、安全な電子証明書を発行してい るかなどについて、指定調査機関から立ち入り検査を受け、認定 を与えてもよいかどうかの審査を受けなければなりません。 指定調査機関 審査 電子証明書 発行 認定 日本政府 認証局 ○○社 「電子署名を行うことに、実印を押すのと同 じ効力があるのなら、これからは契約書の 締結などもどんどんインターネットで行われ ていくようになるんだろうね。」

22

税金の申告や納税を支える電子証明書

電子申告・電子納税

ところで、みなさんは税金の申告や納税もインターネットで行え ることをご存じですか？ 「納税もインターネットでできるの？僕の会 社の経理部担当者は、納税の時期になると 税務署の窓口に並ぶのが大変だって言って いるよ・・・。」 次の方 どうぞ ○○区税務署 納税窓口 納税のシーズンは 窓口が混むんだよね・・・ インターネット 税務署 オフィスにいながら 申告・納税が完了！ 電子申告・電子納税を使うと・・・ 電子申告・電子納税を使うと・・・ e-Tax e-Tax 電子証明書による、電子署名や暗号化といった技術は、国税庁の 電子申告・納税システム（e-Tax）にも使われています。2004 年 6 月から運用が開始され、国税については現在ではすべての税 目の納税が可能です。特に源泉所得税の毎月納付分など、回数の 多い手続を行うのに大変便利です。また、市販の財務会計ソフト の中には、e-Tax に対応しているものもあります。このようなソフ トを使えば、経理作業から納税作業までを一貫してパソコンで行う こともできます。詳しくは、国税庁のウェブサイトで確認してくだ さい。 http://www.e-tax.nta.go.jp/ 2005 年以降、国税だけでなく地方税もインターネットで手続が できるようになりつつあります。納税・申告手続は、今後ますます 便利にスピーディになっていくでしょう。

PKI って何だろう？

今まで全 14 回の説明で、電子証明書や認証局などがインターネッ トを安全に、便利なものにしている土台になっていることが理解し ていただけたかと思います。 「そうだね。僕たちは日常的にインターネッ トを使っているけれど、安全に、楽しく利用 できるのは、電子証明書や認証局という土 台があるからだってことがわかったよ。」 この、「インターネットの安全を支える土台」を公開鍵基盤（PKI: Public Key Infrastructure）といいます。

PKI は電子証明書や認証局、公開鍵暗号方式などを用いて、盗聴・ なりすまし・改ざん・事後否認といった危険性から身を守るための 仕組み全体を指します。 「つまり、今まで教わったことは、 すべてPKIの一部ということだね。」 その通りです。PKIを活用することで、安心してインターネットショッ ピングを楽しんだり、企業の重要な情報を安全に送信したりするこ とができます。 今やインターネットは、電気や水道、電話などと同じ社会基盤のひ とつです。 私たちシマンテックは PKI の構築と運用で安全なインターネットを 支えているのです。 電子署名のついた電子メールを受け取ったときや、ショッピングサ イトのウェブサイトに小さな錠のアイコンが表示されたときには、 あなたに正確な情報を届けたいと願う人がいること、その願いを PKI がかなえていることを心にとどめておいていただければと思 います。

合同会社シマンテック・ウェブサイトセキュリティ • e-文書法によって、電子データ化した書類も原本とみな されるようになりました。 • 電子署名が実印と同じような効力を持ちます。このこと を定めた法律を「電子署名法」といいます。 • 現在ではインターネットを使って税金の申告や納税がで きます。これを電子申告・電子納税といいます。 • 電子証明書・認証局・公開鍵暗号方式など、インターネッ トの安全を支える仕組みを「PKI（公開鍵基盤）」といい ます。 • e-文書法によって、電子データ化した書類も原本とみな されるようになりました。 • 電子署名が実印と同じような効力を持ちます。このこと を定めた法律を「電子署名法」といいます。 • 現在ではインターネットを使って税金の申告や納税がで きます。これを電子申告・電子納税といいます。 • 電子証明書・認証局・公開鍵暗号方式など、インターネッ トの安全を支える仕組みを「PKI（公開鍵基盤）」といい ます。