データ喪失を想定したヒステリシス署名方式評価手法の提案

全文

(1)Vol. 45. No. 8. Aug. 2004. 情報処理学会論文誌. データ喪失を想定したヒステリシス署名方式評価手法の提案上. 田. 祐輔† 洲崎. 佐々木良一† ††† 誠一宮崎. 吉浦邦彦†††. 裕††. 電子商取引や電子政府の進展にともない，電子署名文書を長期的に利用・保管する必要性が高まっており，長期的に電子署名の証拠性を保つことができる署名技術の 1 つとしてヒステリシス署名が考案されている．ヒステリシス署名では，署名生成記録を履歴として保管する特徴を有するが，履歴中の署名記録データが喪失した場合には第三者機関などを利用して履歴の証拠性を示す必要がある．本稿では，データの喪失を考慮した際のトータルコストに観点を置いたヒステリシス署名方式の定量的評価手法を提案するとともに，4 つのヒステリシス署名方式の比較，評価を行う．. Evaluation Method Supposing Data Loss for Hysteresis Signature Systems Yusuke Ueda,† Ryoichi Sasaki,† Hiroshi Yoshiura,†† Seiichi Susaki††† and Kunihiko Miyazaki††† Progress of electronic commerce or the electronic government has led the necessity of using and keeping a digital signature document in the long-term. The hysteresis signature has been devised as one of the signature technology which can keep the proof nature of a digital signature long-term. Although it has the feature which keeps signature generation record as a history by hysteresis signature, when the signature record data in a history loses, the proof nature of a history needs to be shown using a third party etc. In this paper, while proposing the quantitive evaluation method of a hysteresis signature system in which the viewpoint was put on the total cost at the time of taking loss of data into consideration, comparison of four hysteresis signature systems and evaluation are performed.. まい，電子署名を利用したシステムの安全性が損なわ. 1. はじめに. れる可能性がある．. 近年，インターネットのビジネス利用の拡大や電子. このような問題の対策技術（長期利用向け電子署名. 政府の推進にともない，電子申請や電子入札などの各. 技術）の 1 つとして，ヒステリシス署名技術が提案さ. 種行政手続きや文書などの電子化が進められており，. れている．ヒステリシス署名技術は，署名生成を行っ. インターネットを介してユーザの本人性や文書データ. た記録を履歴（ログ）として過去の記録を引き継ぎな. などの正当性を確保する電子署名技術の重要性，利用. がら保管するという特徴を持っている．しかしながら，. 範囲が拡大している．. 履歴データがつねに完全な状態で保管されているとは. しかしながら，電子署名技術は，「署名生成を行う. 限らない．電子データである以上，何らかの原因によ. ことができるのは秘密鍵を所有する本人のみである」. り，データの証拠性もしくはデータ自体が喪失する可. という前提の下に成り立っている技術であるため，電. 能性も考えられるため，履歴中のデータが喪失した場. 子署名付き文書の長期にわたる運用において，秘密鍵. 合には第三者機関などを利用して信頼ポイントを確保. の漏洩や推定などにより上記のような前提が崩れてし. し，履歴の証拠性を示す必要がある．本稿では，「履歴中のデータがある一定の確率で喪失する」と仮定した際のトータルコストに観点を置き，. † 東京電機大学 Tokyo Denki University †† 電気通信大学 Denki Tsuushin University ††† 株式会社日立製作所 Hitachi, Ltd.. データの喪失を考慮したヒステリシス署名方式の定量的評価手法を提案し，通常の電子署名と比べたヒステリシス署名の有効性を示すとともに，信頼ポイントの扱いの違いに着目した 4 つのヒステリシス署名方式 1966.

(2) Vol. 45. No. 8. データ喪失を想定したヒステリシス署名方式評価手法の提案. 1967. （信頼ポイント未使用方式，センタ利用方式，分散方式，紙媒体利用方式）の比較，評価を行う．. 2. ヒステリシス署名とは1)∼4) 本章では，「ヒステリシス署名技術」を解説するとともに，ヒステリシス署名の証拠性を高める「署名履歴交差」および「信頼ポイント」について述べる．. 2.1 ヒステリシス署名の概要ヒステリシス署名は，電子文書の長期運用の際に問題となる署名生成鍵の漏洩や推定による被害を最小限にするための対策技術の 1 つである．この署名技術は，通常の電子署名方式を構成要素の一部として利用するものであり，署名生成するたびに. 図 1 ヒステリシス署名の概要図 Fig. 1 The outline of hysteresis signatures.. 署名情報などを署名記録として署名履歴に残す．署名をする際には直前に履歴に残された署名記録を新たな署名情報の一部として取り込んでいくことにより，署名記録間に連鎖構造を持たせる署名技術である．具体的には，直前の署名記録のハッシュ値と署名対象文書のハッシュ値を結合したデータに対し，秘密鍵を用いて署名生成を行っている（図 1）．署名履歴の一部を IC カードなどの耐タンパ性を有するモジュールに一貫性を保った状態で安全に保管する．こうすることで，過去に生成されたとされる署名を秘密鍵の漏洩などにより偽造された場合でも，履歴. 図 2 署名履歴交差 Fig. 2 Signature history intersection.. の整合性を確認することで署名の偽造を検知することができる．検証の際には，公開鍵による通常の署名検証以外に，. リシス署名付き文書が，当該利用者により確かに生成されたことが保障された署名記録のことである．. 履歴の整合性検証として，署名履歴中の署名記録の連. 2.1 節で述べたように，検証の際に，ハッシュによ. 鎖性を検証するとともに，署名記録とそれに対応する. る連鎖性を検証するため，履歴中の中間データが喪失. 署名との検証も行うことができる．よって，たとえ不. した場合には，喪失したデータから以前の署名記録の. 正者がある文書の内容や署名を偽造しようとしても，. 信頼性が損なわれてしまう．. 署名間で連鎖構造をなしているため，1 つの文書や署. そこで，信頼ポイントを定期的に作成することによ. 名の偽造だけでなく，連鎖をなすすべての署名記録が. り，欠損あるいは改竄により喪失した署名記録以前の. 署名履歴中で一貫性を保つように偽造する必要がある．. 署名記録の真偽も検証可能となるとともに，不正な署. 以上のことから，ヒステリシス署名では，署名の偽造は困難であると考えられている．. 名記録を限定化することができる（図 3）．このような信頼ポイントを作成し，利用するために. 2.2 署名履歴交差. は，定期的に第三者機関に貯託・公開する方法が考え. 署名履歴交差とは，署名履歴中のある署名記録を他. られている．また，システムを利用するユーザ同士が. 人の署名履歴中の署名記録に取り込むことにより，自. 信頼でき，結託などの問題がない場合は，2.3 節で述. 分の署名履歴と他人の署名履歴との間にも署名履歴の. べた署名履歴交差も信頼ポイントを作成するための有. 連鎖性を築くものである．これにより不正者が署名を. 効な方法の 1 つとされている．. 偽造する際に，署名者の署名履歴だけでなく，他人の. 以上で述べた信頼ポイントの確保の仕方により，ヒ. 署名履歴の改竄も必要となるため，偽造はよりいっそ. ステリシス署名システムをいくつかの方式に分けて考. う困難となると考えられている（図 2）．. 察を行っていく．具体的な方式に関しては，次章にお. 2.3 信頼ポイントの必要性信頼ポイントとは，署名生成記録に対応するヒステ. いて述べる．.

(3) 1968. 情報処理学会論文誌. 図 3 信頼ポイントの必要性 Fig. 3 The necessity for reliance points.. 図 4 センタ利用方式 Fig. 4 Center use system.. Aug. 2004. 図 5 分散方式（履歴交差方式） Fig. 5 Distributed system (History intersection system).. 図 6 同時出力前のデータの結合処理 Fig. 6 Joint processing of the data before an output.. 3. 各ヒステリシス署名方式の概要2),3),5). 取引を行った他のユーザの署名履歴から自分の署名記. 本章では，2 章で述べた信頼ポイントの確保方法が. 差を行った際の署名記録データが信頼ポイントとなる．. それぞれ異なる 3 つの方式について説明する．. ( 1 ) センタ利用方式この方式は，ユーザが信頼ポイントとなる署名記録データを定期的にセンタに預けるものである（図 4）．ここでいうセンタとは，電子データ（署名記録デー. 録データを取得し補うことができる．つまり，履歴交この方式において，署名記録データの保証（信頼ポイントの保証）は，履歴交差を行った他のユーザが行っている．したがって，この方式における信頼ポイントを保証する第三者機関は他のユーザとなる．. ( 3 ) 紙媒体利用方式. タ）を預かり安全に保管，あるいは公開するサービス. この方式は，信頼ポイントとして扱いたい署名記録. を行う機関である．この機関としては，インターネッ. データとそれに対応する文書データを結合したものを. トを介したデータセンタ（iDC など）や新聞などのメ. 紙媒体に同時出力するものである．. ディアが考えられる．. ( 2 ) 分散方式（履歴交差方式）この方式では，署名付きの文書を他人に送るときに，. 具体的には，署名生成者側の要求に応じて，署名検証者側で出力する署名記録データと文書データが互いに対応しているかの検証を行った後に，2 つのデータ. 直前の署名記録データを添えて送信する．文書を受け. を PC 内部で結合したものを帳票類などの紙媒体に出. 取った者は，署名を検証するとともに，送られてきた. 力し，署名生成者に送付もしくは手渡しする（図 6）．. 署名記録データを自分の署名履歴に取り込み，履歴交. 出力する紙媒体に帳票類専用紙を使用したり，出力. 差を形成する．その結果，取引相手の署名履歴の中に，. 後の紙媒体に対し捺印やサインを付与したりするこ. 自分の署名記録データが交差して残るようになり，他. とで，紙媒体を正式書類として扱う．以上により，紙. 人と取引を行うごとに他人の署名履歴との連鎖を築く. の世界での署名記録付きの正式書類に対応する署名記. ことができる（図 5）．. 録データを信頼ポイントとして扱うことができる（図. 署名履歴中の中間データが喪失した場合には，以前. 7）．.

(4) Vol. 45. No. 8. データ喪失を想定したヒステリシス署名方式評価手法の提案. 1969. 図 8 IC カードを利用した署名記録データの保管 Fig. 8 Storage of record data using the IC card. 図 7 紙媒体利用方式の流れ例 Fig. 7 Flow of a paper medium use system.. 他の方式が，信頼ポイントを証明してもらう際に，. したがって，IC カードは 1 ユーザにつき 1 枚とし，各自の署名履歴に関しても 1 ユーザにつき 1 つとする．また，現時点において，耐タンパモジュールにすべ. 他のユーザやセンタの協力が必要となるのに対し，信. ての署名記録データを保管する方法では，コストや容. 頼ポイントとなる署名記録付きの文書を正式書類とし. 量の問題をはじめ，現実的なシステムの普及は考えら. て自身が持つため，第三者が何らかの理由で協力でき. れない．そこで，本稿では，評価対象としてあげる各. ない，または協力したくないときにも対応可能となる. ヒステリシス署名方式の署名記録データの保管方法で. 特徴を持つ．. は，「最新の署名記録データのみを IC カード内に保. 4. データ喪失を想定した評価手法. 管し，それ以前の署名記録データを各ユーザのハードディスク内に保管する」という状況を想定する．また，. 従来，ヒステリシス署名の安全性に関する評価は行. IC カード内の最新署名記録データは，次の署名記録. われてきた1)∼3) ．しかし，「通常の署名と比べ，どれ. データを作成するまで外部にいっさい漏れないものと. ほどの有効性を持つのか」，「信頼ポイントを何回に 1. する（図 8）．. 回作成すればよいのか」，「どの信頼ポイント確保方式. 以上のような前提の下で，本稿では，IC カード内. がよいのか」といった定量的な評価は行われていない．. の最新署名記録データを信頼ポイントの 1 つとして考. これらを明確にしようとすると，コストの概念が不可. える．. 欠であると考えた．そこで本章では，「履歴中のデータの証拠性または. また，本稿におけるトータルコストとは以下のように「データ喪失のリスクに基づくコスト」と「設備・. データ自体がある確率で喪失する（本稿では，仮に 1. 運用コスト」からなるとする．. 年間にある確率で喪失すると考える）」と仮定した際. トータルコスト = (データ喪失リスクに基づくコスト). のトータルコストに着目し，「信頼ポイントを作成しない単純なヒステリシス署名方式」および 3 章で述べ. + (設備・運用コスト) ただし，「データ喪失リスクに基づくコスト」とは，. た「信頼ポイントを作成する 3 種類のヒステリシス署. 履歴中の署名データの証拠性もしくはデータ自体が喪. 名方式」それぞれに対する，データの喪失を想定した. 失することにより発生するコストを示し，以後「デー. 定量的評価手法を示す．. タ喪失コスト」と呼ぶ．. 4.1 評価における前提条件本稿において評価するうえでの前提条件を以下に記す． 1 公開鍵暗号系が危殆化しているとする．. 2 ハッシュ関数の安全性は保たれているものとする． 3 正規の署名生成者は以下のような不正を行わないものとする．. A) 故意に IC カードをなくす． B) 二重帳簿的な不正行為（正規の履歴とは別に不正な履歴をもう 1 つ保持するなど）．. 4.2 データ喪失コストの算出法本節では，信頼ポイントを作成しない単純なヒステリシス署名方式を「信頼ポイント未使用方式」と名付け，それに加え「信頼ポイント使用方式」として 3 章で述べた 3 方式についてのデータ喪失のリスクに基づくコスト評価の定式化を行う．. 2 章で述べたように，ヒステリシス署名における署名履歴中の署名記録データ間は，ハッシュ関数による連鎖構造が形成されている．そのため，データが喪失した場合，履歴中の証拠性が失われるため，その際の.

(5) 1970. Aug. 2004. 情報処理学会論文誌. 表 1 パラメータの内容（データ喪失コスト評価） Table 1 The contents of a parameter (Data loss cost evaluation).. 図 9 信頼ポイント未使用方式における損失分 Fig. 9 A lost part in a reliance point intact system.. このとき，i 番目のデータの価値を Vi とすると，i 番目のデータが喪失した場合，1 番目から i 番目までの証拠性が失われるため，その際の損失額は次のようになる．損失が喪失した署名記録データのみにとどまらず，喪. Vi∗. =. Vk. (2). k=1. 失したデータ以前の署名記録データにも影響を及ぼす．データ喪失コスト算出の定式化にあたり，この性質を. i . したがって，i 番目のデータ喪失コスト Ci は式 (1) と式 (2) の両者の積をとって Ci = Pi∗ Vi∗ で得られる．. 適切に式に反映させる必要がある．また，定式化における各パラメータの内容について，表 1 に示す．. ( 1 ) 信頼ポイント未使用方式. ( 2 ) 信頼ポイント使用方式本方式においても，i 番目のデータに着目すると i+1 番目から X 番目のデータが喪失しておらず，i 番目. 本方式では，信頼ポイントが存在しないため，喪失. のデータが喪失する確率を求める式は式 (1) と同様で. した署名記録データから以前のデータはすべて証拠性. ある．ただし，何らかの形で定期的に信頼ポイントを. を失うことになる（図 9）．. 作成しているため，信頼ポイントに該当する署名記録. たとえば，図 9 において，左側では，2 番目のデータが失われれば，1 番目と 2 番目のデータの証拠性が，右側では 1 番目から 6 番目までのデータの証拠性が失. データの喪失確率そのものに関しては，信頼ポイント未使用方式とは扱いが異なる．また，定期的に信頼ポイントが作成されているため，. われることになる．ただし，2 つ以上のデータが喪失. 必ずしも喪失した署名記録データから以前のすべて. した場合には，一部のコスト（上記の例では，1 番目. データが証拠性を失うということにはならない．つま. と 2 番目）を二重に見積もることになる．これを避け. り，喪失したデータから以前のデータに信頼ポイント. るためには，i 番目のデータに着目すると i + 1 番目. が存在すれば，損失の影響が信頼ポイントの部分で減. から X 番目（ここでは 8 番目）のデータが喪失して. 少すると考えられる．これに対しては，表 1 で記した. おらず，i 番目のデータが喪失する確率を求めればよ. 証拠性喪失にともなう損失性の推移確率 Q を損失額. い．この確率は以下のようになる．. の算出に使用することで，損失への影響を作用させる必要がある．したがって，i 番目のデータが喪失した. X. Pi∗ = Pi ·. (1 − Pj ). (1). 場合，1 番目から i 番目までの証拠性が失われる際の損失額の算出法は，i 番目のデータの価値を Vi とし. j=i+1. したがって，Pi∗ は i 番目から以前（1 番目から i. たとき，次のようになる．. 番目まで）の署名データが証拠性を失う確率を示す．. X i=1. Pi∗. +. X . (1 − Pi ) = 1 が成り立つ. i=1. . Vi∗ =. i k=1. . Vk ·. i−1 . Ql. (3). l=k. 「信頼ポイント使用方式」では，通常の署名記録デー.

(6) Vol. 45. No. 8. データ喪失を想定したヒステリシス署名方式評価手法の提案. 1971. 表 2 定式における各方式の設定条件 Table 2 The setting conditions of the all systems in a constant formula.. 図 10 信頼ポイント使用方式の例 Fig. 10 The example of a reliance point use system.. 表 3 パラメータ Po の設定 Table 3 A setup of Parameter Po .. タの場合は無条件で損失の影響が波及するため，推移確率 Q は Q = 1 となるが，信頼ポイントに該当する署名記録データの場合は「信頼ポイントを保証してもらえない確率 Po 」を作用させ Q = Po となる．これにより，損失分内に信頼ポイントがあった場合の影響を考慮した損失額の算出が可能となる（先に述べた「信頼ポイント未使用方式」についても同じように考慮すると，すべての Q が Q = 1 の場合であるといえよう．つまり，結果的には式 (2) と同等となる）（図. 10）．. ポイントを証明してもらえる確率は，信頼ポイントを. よって，i 番目のデータ喪失コストは，信頼ポイン. 喪失することなく安全に保管できる確率と同等と考え. Pi∗ Vi∗. られる．本稿では，センタはユーザから料金を支払っ. ト未使用方式と同様に両者の積をとって Ci = で得られる．. てもらい，責任を持って安全に保管するという前提で. 以上より，各方式ともにすべての i について求めると，データ喪失コスト Cd は以下のようになる．. X. Cd =. i=1. . Pi ·. X. i. (1−Pj ) ·. j=i+1. . Vk ·. k=1. i−1. . Ql. l=k. (4). 考察していくため，センタ利用方式は紙媒体利用方式に比べて確率 Po は低い（確実に認証してもらえる）と考える．また，分散方式においては，履歴交差した他のユーザの署名記録データから IC カードまでのデータがすべて一貫している確率と同等となる．場合によっては，. ここでの，各パラメータは表 2 に示すように設定す. 複数のユーザの履歴を必要とするため，IC カードま. ることとした．表 2 では，簡単のため信頼ポイントと. でのデータ数が不明確である．そこで，簡単のため IC. 最新の署名記録データを除く通常の Pi をすべて一定. カードまでのデータ数パラメータを M として，適当. の値 Pb としたが，それぞれの署名記録データ固有の. な値（例：300，1000，10000 など）を代入して求める．. 喪失確率を設定することも可能である．. 以上より，各方式における Po のパラメータは表 3. 4.3 信頼ポイント使用方式におけるパラメータ設定信頼ポイントの作成方式には 3 章で述べた 3 方式が存在するが，定式自体はすべて同様となる．ただし，. のよう表すことができる．. 信頼ポイントの確保方法が異なるため，信頼ポイント. ントを作成するにあたって，設備・運用コストが生じ. を証明してもらえない確率 Po がそれぞれ異なる値を. る．トータルコストを求めるうえでは，設備・運用コ. 設定する必要がある．. ストも含める必要があるため，以下で各方式における. センタ利用方式および紙媒体利用方式における信頼. 4.4 設備・運用コスト評価の定式化センタ利用方式および紙媒体利用方式は，信頼ポイ. 設備運用コスト評価の定式化を行う（ただし，ヒステ.

(7) 1972. 情報処理学会論文誌. 表 4 パラメータの内容（設備・運用コスト評価） Table 4 The contents of a parameter (Equipment/ Employ cost evaluation).. Aug. 2004. 表 6 評価において仮定する各パラメータ値 Table 6 Each parameter value assumed in evaluation.. 信頼ポイント未使用方式および分散方式に関しては，上記の 2 方式に比べて相対的に低コストであると考え表 5 各方式における設備・運用コストの定式 Table 5 The constant formula of equipment/employment cost in an all directions formula.. たため，本稿では考えないものとした．以上より，各方式における設備・運用コストを表 5 に示す．. 5. 定式に基づいた各方式の比較評価および考察本章における比較評価では，例として仮に署名データ 1 つ分の価値を 500（円），サーバなどをはじめとする設置費用を 3,000,000（円），年間の署名データ喪失確率を 0.001，などといった想定の下，定式内の各リシス署名には IC カードが必須アイテムであり，す. パラメータに対して表 6 のような仮の設定値を入力し. べての方式に共通しているため，IC カードのコスト. て検討を行う．ただし，本章では簡単のため，Vi をす. に関しては，設備・運用コストに含めない）．. べて一定の値 Vb とする．. 各パラメータの内容を表 4 に示す．. 5.1 通常の電子署名との比較評価本節では，公開鍵暗号系が危殆化した際における，. • センタ利用方式本方式では，まずセンタを設立するうえでの設備コ. 現在使用されている通常の電子署名方式とヒステリシ. スト Ce が必要となる．それに加え，信頼ポイントを. ス署名方式の各データ喪失コストを比較することで，. 保管するためのハードディスク占有コスト Ch が必要. ヒステリシス署名の安全性を定量的に評価する．. となる．さらに厳密にいうと，センタを運用していく. 公開鍵暗号系が危殆化した場合，過去に生成された. うえで生じるコストも含める必要があるが，今回は簡. 通常の電子署名はすべて証拠性を失うことになる．し. 単のため時間的な概念などを考慮していないため，設. たがって，通常の電子署名のデータ喪失コストは以下. 備コスト Ce に適当な値を含めて考えることにする．. の式で得られる．. よって，センタ利用方式における 1 人あたりの設備・運用コスト Cee は以下の式で表すことができる．. Cee = (Ce + Y · L · Ch )/Y. (5). Cd = V d · X. (7). 以上，4.2 節で示した式 (4) および式 (7) により，過去に生成された署名データ数もしくは署名記録データ. • 紙媒体利用方式本方式で必要となるコストは，紙媒体の郵送コスト Cm に加え，紙媒体そのもののコストおよびプリント. 数に応じた「通常電子署名とヒステリシス署名のデー. コスト Co が必要であると考えられる．. シス署名方式は，「信頼ポイントを作成しない単純な. よって，紙媒体利用方式における 1 人あたりの設備・運用コスト Cee は以下の式で表すことができる．. Cee = L · (Cm + Co ). (6). タ喪失コスト」の定量的な比較評価が可能となる．ただし，本節において通常署名方式と比較するヒステリヒステリシス署名方式（信頼ポイント未使用方式）」とした（図 11）．図 11 の評価結果より，公開鍵暗号系が危殆化した.

(8) Vol. 45. No. 8. データ喪失を想定したヒステリシス署名方式評価手法の提案. 図 11 通常署名とヒステリシス署名のデータ喪失コスト比較評価 Fig. 11 The data loss cost comparison of a usual digital signature and a hysteresis signature.. 1973. 図 13 信頼ポイント使用方式のデータ喪失コスト比較評価（X = 400，M = 100 および M = 200 のとき） Fig. 13 Data loss cost comparison evaluation of a reliance point use system (X = 400, M = 100, and M = 200).. 次に，信頼ポイント使用方式の各 3 方式におけるデータ喪失コストの比較評価を図 13 に示す．センタ利用方式および紙媒体方式は，Po の値が違うにもかかわらず，ほぼ同等の値をとる結果となった．これは，Po (= Q ) の値が非常に小さいため，式 (4) における (. i−1. Ql ) の項目が Po の指数倍となりゼロに近づき，Po の効果がほぼ無視される結果となる k=l. ためである．図 12. 信頼ポイント使用方式と信頼ポイント未使用方式のデータ喪失コスト比較評価（X = 100 のとき） Fig. 12 Data loss cost comparison evaluation of a reliance point use system and a reliance point intact system (X = 100).. また，分散方式は，他の 2 方式に比べて全体的に高い値をとっている．履歴交差を行った他のユーザの署名記録データから IC カード内の最新の署名記録データまでのデータ数 M が多くなればなるほど，他の 2 方式に比べてコストがかかることが分かる．. 際，ヒステリシス署名は通常の電子署名と比較して，ユーザにとってのリスクに基づくコストのパフォーマンスが良いことが分かる．. 5.2 信頼ポイント使用方式のデータ喪失コストの比較評価信頼ポイント使用方式として，センタ利用方式を採. 5.3 設備・運用コストを含めたトータルコストの比較評価 4.2 節で述べたデータ喪失コストと 4.3 節で述べた設備・運用コストを足し合わせることで，ユーザ 1 人あたりにおけるトータルコストを算出することができる．. 用した場合における，信頼ポイント使用方式と信頼ポ. 本節では，ヒステリシス署名を利用するユーザ数 Y. イント未使用方式とのデータ喪失コストの比較評価を. の値が 300，1,000，10,000 の 3 通りを想定し，さらに，. 図 12 に示す．. その際の各個人の全署名データ数 X = 400，履歴交差. 図 12 より，信頼ポイントの効果（リスクにともな. を行った他のユーザの署名記録データから IC カード. うコストの減少）から必要性が見てとれる．さらに全. 内の最新の署名記録データまでのデータ数 M = 200. 署名数 X の値が大きくなれば，その効果はより顕著. を想定する．. に表れることが予想できる．また，信頼ポイント使用方式のグラフにおいて，. N = 50 以降において N = 40 以下とグラフの様子が異なっている．これは，N = 50 を境に信頼ポイントが 1 つとなり，信頼ポイントから最古の署名記録データまでのデータ数が大きくなっていくためである．. 以上の想定の下で，信頼ポイント使用方式の各 3 方式における設備・運用コストを含めたトータルコストの比較評価を以下に示す（図 14，図 15，図 16）．. • センタ利用方式今回の想定環境下において，ユーザ数が 300 人以下の小さいシステムであった場合は，センタ利用方式が.

(9) 1974. 情報処理学会論文誌. Aug. 2004. あたりからセンタ利用方式のトータルコスト・パフォーマンスが最も良いことが分かる．以上より，電子署名のユーザが，今現在におけるインターネットのユーザ数のように莫大な人数なった場合には，センタ利用方式が最も適していることを示していると考えられる．しかし，たとえ大きなコストがかかったとしても，署名データ喪失リスクに基づくコストを最小限に抑えたい場合は，センタ利用方式が望ましいと考えられる．図 14 信頼ポイント使用方式のトータルコスト比較評価（Y = 300，X = 400，M = 200 のとき） Fig. 14 Total cost comparison evaluation of a reliance point use system (Y = 300, X = 400, M = 200).. • 分散方式データ喪失コストにおいて最も悪いコスト・パフォーマンスであったのに対して，今回想定した環境下では，. N = 40 もしくは N = 50 以下であれば，3 方式の中で最もトータルコスト・パフォーマンスが良いことが分かる．以上より，分散方式を利用する場合は，比較的頻繁に履歴交差を行い，信頼ポイントを作成することで，トータルコストを低く抑えることができると考えられる．ただし，これは，本稿において分散方式の設備・運用コストはないものとしたことも一因となっている．したがって，他の 2 方式の設備・運用コストをより小さく抑えることができれば，頻繁に信頼ポイントを作成したとしても，分散方式の方が不利になる可能性が大きくなるといえる．. 図 15 信頼ポイント使用方式のトータルコスト比較評価（Y = 1000，X = 400，M = 200 のとき） Fig. 15 Total cost comparison evaluation of a reliance point use system (Y = 1000, X = 400, M = 200).. しかし，分散方式における信頼ポイントの保証は，他のユーザへの依存度が強いため，他のユーザが何らかの理由で「協力できない，または協力したくない」などのリスクがともなうことによるリスクに基づくコストの増加についても考慮する必要がある．ただし，たとえ署名データ喪失リスクに基づくコストが大きいとしても，トータルコストを最小限に抑えたい場合は，頻繁に履歴交差をする必要が生じるが，分散方式が望ましいと考えられる．. • 紙媒体利用方式今回想定した環境下において，ユーザ数が 1,000 人以下のシステムにおいて，N = 50 以上の場合であれば，トータルコスト・パフォーマンスが 3 方式の中で最も良いことが分かる．図 16 信頼ポイント使用方式のトータルコスト比較評価（Y = 10000，X = 400，M = 200 のとき） Fig. 16 Total cost comparison evaluation of a reliance point use system (Y = 10000, X = 400, M = 200).. 利用する紙媒体の数が比較的少なければ，トータルコ. 最もコストがかかることが分かる．これは，ユーザ数. いては，扱う紙媒体数が増えてしまうために，設備・. が少ない場合に，設備・運用コスト値が大きくなって. 運用コスト値が大きくなってしまうことが原因となり，. しまうことが原因である．図 16 のように，ユーザ数が. トータルコストが大きくなってしまうと考えられる．. 10,000 人といった大きなシステムであれば，N = 40. また，紙媒体数が非常に多くなった場合，保管場所の. 以上より，紙媒体利用方式は，信頼ポイントとしてストを抑えることができるといえる．しかし，信頼ポイントの作成を頻繁に行う場合にお.

(10) Vol. 45. No. 8. データ喪失を想定したヒステリシス署名方式評価手法の提案. 確保に要するコストなども考える必要が生じてくると思われる．. 1975. めぐる問題とその対策，日本銀行金融研究 Discussion Paper, No.2002-J-32 (2002).. (平成 15 年 12 月 9 日受付) (平成 16 年 6 月 8 日採録). ただし，たとえ大きなコストがかかったとしても，第三者機関的なセンタなどを利用せずに署名データ喪失リスクに基づくコストを最小限に抑えたい場合，または電子データと紙とを共存させたい場合などは，紙媒体利用方式が望ましいと考えられる．. 6. おわりに. 上田祐輔（学生会員）. 2003 年東京電機大学工学部第一部情報通信工学科卒業．現在，同大学大学院工学研究科情報通信工学専. 本稿では，データ喪失を想定したヒステリシス署名方式評価手法の提案として，設備・運用コストも含め. 攻修士課程に在学中．情報セキュリティに関する研究に従事．. たトータルコストに着目した評価手法を提案した．あわせて，「通常の署名技術と比較したヒステリシス署. 佐々木良一（正会員）. 名の有効性」および「ヒステリシス署名における信頼. 1971 年東京大学卒業．同年日立. ポイントの必要性」を示すとともに，信頼ポイントを. 製作所入所．システム開発研究所に. 作成するうえで分けられる 3 つの方式に関する比較・. てシステム高信頼化技術，セキュリ. 評価を行った．. ティ技術，ネットワーク管理システ. 今後，採用した方式・対策による効果やそれにともの現実のシステムに対して最適な方式を選択できるよ. ム等の研究開発に従事．同研究所第 4 部長，セキュリティシステム研究センタ長，主管研究長等を経て現在東京電機大学工学部教授．工学博士. うにする必要がある．この事項に対しては，各方式・. （東京大学）．電気学会論文賞，電気学会著作賞，情報. 対策案を最適化問題として定式化し，解を得ようと考. 処理学会論文賞受賞．著書に，『インターネットセキュ. えている．. ，『情報セキュリティリティ入門』（岩波新書，1999 年）. なう新たなコストとの関係を明らかにし，様々な条件. また上記に加え，本稿であげたセンタ方式と分散方. 事典』（代表編，共立出版，2003 年）等．IEEE，電子. 式の 2 つを併用した方式などに対しての定式化や，他. 情報通信学会等の会員．情報処理学会フェロー．情報. の長期利用向け電子署名技術に対する定式化，また，. 処理学会コンピュータセキュリティ研究会顧問．IFIP. 設備・運用コストに関する厳密なパラメータ設定など. TC11 日本代表．. を行っていく予定である．. 参. 考文. 献. 1) 岩村充，宮崎邦彦，松本勉，佐々木良一，松木武：電子署名におけるアリバイ証明問題と経時証明問題—ヒステリシス署名とデジタル古文書の概念，コンピュータサイエンス誌 bit，Vol.32, No.11, 共立出版 (2000). 2) 洲崎誠一，松本勉：電子署名アリバイ実現機構—ヒステリシス署名と履歴交差，情報処理学会論文誌，Vol.43, No.8, pp.2381–2393 (2002). 3) 谷本幸一，宮崎邦彦，伊藤信治，吉浦裕：署名履歴交差を利用したヒステリシス署名の実現方法，情報処理学会 CSS2002 (2002). 4) 宮崎邦彦，吉浦裕，岩村充，松本勉，佐々木良一：第三者機関への依存度に基づく長期利用向け電子署名技術評価手法の提案，情報処理学会論文誌，Vol.44, No.8, pp.1955–1969 (2003). 5) 篠田光秋，上田祐輔，佐々木良一：紙文書を伴うヒステリシス署名システムの提案と評価，電子情報通信学会 ISEC2003 (2003). 6) 宇根正志：デジタル署名生成用秘密鍵の漏洩を. 吉浦. 裕（正会員） 1981 年東京大学理学部情報科学科卒業．同年日立製作所入社．日立研究所，システム開発研究所を経て，現在，電気通信大学電気通信学部人間コミュニケーション学科助教授．自然言語処理，知識処理，情報セキュリティ，著作権保護の研究に従事．理学博士．電子情報通信学会，人工知能学会各会員．.

(11) 1976. Aug. 2004. 情報処理学会論文誌. 洲崎誠一（正会員）. 宮崎邦彦（正会員）. 1991 年 3 月横浜国立大学電子情. 1973 年神奈川県生まれ．1998 年. 報工学科卒業．同年 4 月（株）日立. 東京大学大学院数理科学研究科修士. 製作所システム開発研究所に入所．. 課程修了．同年株式会社日立製作所. 以来，情報セキュリティ技術の研究. 入社．現在に至るまで，同社システ. 開発に従事．2001 年 4 月横浜国立. ム開発研究所にて，暗号，情報セキュ. 大学大学院環境情報学府入学．現在，同大学院環境情. リティ技術に関する研究開発に従事．また，2003 年. 報学府博士課程後期に在学するとともに，システム開. 4 月より東京大学大学院情報理工学系研究科博士課程. 発研究所第 7 部（セキュリティシステム研究部）研究. 在学中．電子情報通信学会会員．. 員．1996 年情報処理学会第 52 回全国大会優秀賞，平成 12 年度山下記念研究賞受賞．.

(12)