Society 5.0 実現のためのトラストサービス 2018 年 11 月 9 日 経済産業省 CIO 補佐官満塩尚史氏 0

Society 5.0実現のためのトラストサービス

2018年11月9日

Society 5.0とは

Society 5.0のメタ化

サイバー空間

フィジカル空間

人

企業

サーバ

時刻

位置

IoTセンサ

デバイス・部品

データセット

連携プロセス

データセットA データセットB データセットC データセットD データセットE

エンティティの信頼性を

データの属性情報化する仕組み

データの信頼性を

エンティティに提供する仕組み

信頼度

トラストサービス

トラストサービス（データセット）

サイバー空間

人or 組織or マシン 電子証明書 （信頼のある記載事項） ・ファイル ・利用者 電子署名 （利用者がファイルを作成し た事実） 人or 組織or マシン 認証結果 （・信頼のある属性情報 ・認証結果） ・ファイル ・時刻 タイムスタンプ （特定時刻以前にファイルが 作成された事実）

フィジカル空間

電子証明書

発行サービス

電子署名

サービス

電子認証

サービス

タイムスタンプ

サービス

エンティティの信頼性をデータの属性情報化する仕組み

データセット

トラストサービス（連携プロセス）

サイバー空間

・データセンター ・マシン ・運用管理業務 ・運用管理組織

セキュリティ対応サービス

エンティティの信頼性をデータの属性情報化する仕組み

データセットA データセットB データセットC データセットD データセットE

連携プロセス

フィジカル空間

EU eIDAS

eIDAS Regulation EU No910/2014 1.一般規定 2.電子本人確認 3.トラストサービス 4.電子文書 5.権限委譲及び 実施規則 5.末則 1.一般規定 2.監督 3.適格トラスト サービス 4.電子署名 5.電子シール 6.電子タイムスタンプ 7.電子書留 送付サービス 8.ウェブサイト認証

Chapter

Section

Assurance Level low

Assurance Level substantial Assurance Level high

トラストリスト EU トラストマーク アドバンス電子署名 適格電子署名 アドバンス電子シール 適格電子シール

AICPA/CICA Webtrust Program



Webtrust（Trust Service Principle and criteria

for Certification Authority）



電子証明書発行サービスに関する民間認証スキーム



電子証明書発行用途

–

個人による電子署名

–

Webサイトの認証（特に、EV SSL）

–

コードサイニング



多くのOS・ブラウザーにプレインストールするROOT証明書の要件となって

いる。

セキュリティ対応サービス（NIST SP800-53）



連邦政府情報システム及び連邦組織のためのセキュリティ管理策とプライバシー管理策

ステップ1 情報システムの 分類 ステップ2 セキュリティ管理 策の選択 ステップ3 セキュリティ管理 策の実装 ステップ4 ステップ5 情報システムの 認可 ステップ6 セキュリティ管理 策のモニタリング •機密性、完全性、または可用性の損失が、組織活動、組織資産、または 個人に限定的な悪影響を及ぼすことが予想されうる。 潜在的脅威：低位 •機密性、完全性、または可用性の損失が、組織活動、組織資産、または 個人に重大な悪影響を及ぼすことが予想されうる。 潜在的脅威：中位 •機密性、完全性、または可用性の損失が、組織活動、組織資産、または 個人に致命的または壊滅的な悪影響を及ぼすことが予想されうる。 潜在的脅威：高位 ベースライン管理策：低 ベースライン管理策：中 ベースライン管理策：高 AC：アクセス制御 AT：意識向上およ びトレーニング AU：監査および責 任追跡性 CA：セキュリティ 評価および運用認 可 CM：構成管理 CP：緊急時対応計 画 IA：識別および認 証 IR：インシデント 対応 MA：保守 MP：メディアの 保護 PE：物理的および 環境的な保護 PL：計画作成 PS：人的セキュリ ティ RA：リスク評価 SA：システム調達 およびサービスの 調達 SC：システム保護 および通信の保護 SI：システムおよ び情報の完全性 PM：プログラム 管理

FIPS 199

セキュリティ対応サービス（NIST SP800-171）



連邦政府外のシステムと組織における管理された非格付け情報の保護

CUI の保護についての法定の及び規制上の要件は、このような情報が連邦政府システムに存在するか、または連邦政府外のシステム

に存在するかどうかにかかわらず、それらのシステムが動作するような環境を含めて、一貫している。

CUIを保護するために実装された保障措置は、連邦政府及び連邦政府外のシステムと組織において一貫している。

CUI についての機密性影響値は、中位(moderate)よりも低くてはならない、これは連邦情報処理標準(FIPS) Publication 199に従う。

ベースライン管理策：中

アクセス制御

意識向上と訓

練

監査と責任追

跡性

構成管理

識別と認証

インシデント

対応

メンテナンス

メディア保護

要員のセキュ

リティ

物理的保護

リスクアセス

セキュリティ

システムと通

システムと情

※CUI(Controlled Unclassified Information)

3つの基本となる前提条件

電子認証サービス（NIST SP800-63-3）



デジタル アイデンティティガイドライン

潜在的脅威：低位 潜在的脅威：中位 潜在的脅威：高位 不便, 苦痛, または社会的地位や評判の低下. 経済的損失または機関の負債. 機関のプログラムや公共利益への損害. 要注意情報の無許可の公開. 個人の安全. 民事または刑事上の違反. IAL1: 自己申告 IAL2: リモートか対面での身元情報の検証が 必須となる IAL3: 対面での身元情報の検証が必須となる. AAL1: 単要素認証 AAL2: 複数要素認証 AAL3: 耐タンパモジュールを含めた FAL: ベアラーアサーション FAL2: アサーションの暗号化 FAL3: アサーションに対する電子署名

IAL（Identity Assurance Level）

身元確認保証レベル

AAL（Authenticator Assurance Level）

当人確認保証レベル

FAL（Federation Assurance Level）

当人確認保証レベル

リスク分析

日本におけるトラストサービスに関連する制度



電子署名及び認証業務に関する法律

– 電子署名 – 認定認証業務



電子委任状の普及の促進に関する法律

– 電子委任状 – 電子委任状取扱業務



商業登記に基づく電子認証制度

– 登記所が、会社・法人の代表者等に関する電子証明書を発行。



電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律（公的個人認証法）

– 電子署名用電子証明書 – 利用者認証用電子証明書



オンライン手続におけるリスク評価及び電子署名・認証ガイドライン

– NIST SP800-63-1 Draft Electric Authentication Guidelineを参考に作成



タイムビジネス認定制度

データの信頼性をエンティティに提供す

る仕組み

Society 5.0のメタ化

サイバー空間

フィジカル空間

人

企業

サーバ

時刻

位置

IoTセンサ

デバイス・部品

データセット

連携プロセス

データセットA データセットB データセットC データセットD データセットE

エンティティの信頼性を

データの属性情報化する仕組み

データの信頼性を

エンティティに提供する仕組み

信頼度

トラストサービス

EUトラストリスト①

欧州連合信頼リスト（EUTL）とは、EU eIDAS 電子

署名規則の最高レベルのコンプライアンスを実装す

るために特別に認定された 200 社以上のアクティブ

かつレガシーな信頼サービスプロバイダー（TSP）

の公開リストです。

～

アドビは、EUTL サポートを包括的に提供する最初

のグローバルベンダーです。以下のプロバイダーの

いずれかからデジタル ID を取得すると、

Adobe

Acrobat Reader DC

、

Adobe Acrobat DC

、また

トラストリスト自体は、XMLデータ。

人が理解しやすいようにブラウジング

もできる。

EUトラストリスト②

<TrustServiceProvider>

<TSPInformation> <TSPName>

<Name xml:lang="en">Verizon UK Ltd</Name> </TSPName>

<TSPTradeName>

<Name xml:lang="en">NTRUK-02776038</Name> <Name xml:lang="en">Verizon UK Ltd</Name> </TSPTradeName>

<TSPAddress> <PostalAddresses>

<PostalAddress xml:lang="en"> <StreetAddress>

Reading International Business Park, Basingstoke Road </StreetAddress> <Locality>Reading</Locality> <StateOrProvince>Berkshire</StateOrProvince> <PostalCode>RG2 6DA</PostalCode> <CountryName>UK</CountryName> </PostalAddress> </PostalAddresses> <ElectronicAddress> <URI xml:lang="en">mailto:[email protected]</URI> <URI xml:lang="en">http://www.verizonenterprise.com/Support/</URI> </ElectronicAddress> </TSPAddress> <TSPInformationURI> <URI xml:lang="en"> http://www.verizonenterprise.com/products/security/identity-access/ </URI> </TSPInformationURI> </TSPInformation>

経済産業省

経済産業省デジタルプラットフォーム（全体像）

事業者の認証

補助金

申請

計画認定

許認可

届出

データA

データB

データC

データD

手続システム

（手続を処理）

法人共通認証基盤

（ログインシステム）

データベース

（データを蓄積）

データ交換プラットフォーム

API

API

API

_API

オープンデータ

•

法人版マイナンバーである

法人番号を活用

し、

一つのID/パスワードで複数の行政サービスにアク

セス

でき、

ワンスオンリーが可能となる認証システム

として「

法人共通認証基盤

」を整備。

•

まずは経産省の主要な法人向け手続の簡素化・デジタル化を実施し、法人共通認証基盤を活用して

2018

年度

2019

年度

2020

年度

法人共通認証基盤の構築について



現状、手続をデジタル化した際に、システム毎にID/パスワードが発行され事業者に

とって管理が煩雑といった課題あり。

•

法人が一つのID/パスワードで行政サービスにアクセスが可能となるよう、法人番号

を活用した法人共通認証基盤を2018年度に開発。簡易な手段での本人確認が可能とな

り、行政手続にかかる時間や手間を削減。

《スケジュール》

《法人共通認証基盤のイメージ》

・経産省において認証システムを開発

・個人事業主等のID管理方法を検討

・経産省の複数の行政手続に実証導入

・各府省において、所管する手続への実

装を検討

・経産省内の手続に本格導入し、他

省庁にもシステムを共有

これまで：複数のID/パスワードが必要

今後：１つのID/パスワードで手続が可能に

手続A

手続B

手続C

手続A

手続B

管理

が煩雑

法人共通認証基盤

法人インフォメーション

法人基本３情報（法人番号、商号・屋号、所在地）

補助金

資格・表彰

許認可

その他

事業者

国民

取引先等の他社 の情報収集etc..

自治体

各府省庁

○○省 ○○庁

A企業への許認可等

_{B企業への補助金}

C企業への表彰 etc

法人に関する情報の一括検索・参照

※公開可能なものから実施 地元企業との連携先 の開拓等に活用etc..

各府省庁から法人情報を提供

民間 データと 組合せ たサービ ス提供 民間の ビッグデータ

法人インフォメーションとは

http://hojin-info.go.jp



政府が保有する法人情報の利用可能性を検討・実証するため、法人番号を共通コードとするオープンデータ

サイトとして、平成29年1月に運用開始。



各府省庁のＨＰ等で公表されている法人活動情報（補助金・委託契約の実績、一部の許認可・表彰等

情報）について各府省に提供を依頼、法人番号の付番・データ構造の共通化をして掲載。

掲載されている法人活動情報数（H29.８.28現在）

◆

補助金交付情報

・・・・・

約68,000件

（平成27年度・28年度上期分）

◆

委託契約情報

・・・・・

約69,000件

（平成27年度・28年度上期分）

◆

行政処分情報

・・・・・

約160件

◆

許認可・届出情報

・・・・・ 約223,000件

統一資格有資格者(総務省)、特許・意匠・商標(特許庁)、

信用金庫免許、郵便局銀行代理者許可（金融庁)など

◆

表彰情報

・・・・・ 約67,000件

女性社員の活躍推進（厚生労働省）など

約427,000件の法人活動情報を掲載しています。今

後も、順次追加していきます。

サイバー法人台帳ROBINS等

法人データストア

（決算情報等）

業務Ｂ

業務Ｃ

_業務Ｄ

民間企業

DB1

業務Ｅ

民間企業

DB2

法人

法人データ交換基盤

法人

インフォメー

ション

法人共通認証基盤

業務Ａ



デジタルファースト法案における添付書類撤廃、ワンスオンリー等を支える基盤として、官

民が保有する法人情報を閲覧・取得して申請処理等に活用する仕組みの構築を進める。



2018年度から検討を始め、2019年度から試行できるよう進めていく。

行政

データ

民間

データ

法人データ交換基盤の構築に向けて（イメージ）

オープンデータ

による新規ビジ

ネス創出

1つのIDで行政手続を可能に

申請

官民データ連携を通じて官民でワンス

オンリーを実現可能とし、手続を簡素化

法人デジタルプラットフォームの今後の検討について

先行事例調査

•エストニアのX-Road等の文献調査、実態調査

技術調査及び検討

•法人データ交換基盤に必要なフレームワーク、アーキテク チャー、ネットワーク技術、暗号化方式、通信方式等々の調査 •集中サーバ型、分散管理型

多様な認証方式の検討

•費用対効果とユーザビリティに配慮しつつ、パスワードレス認証、生 体認証等々の追加の検討

電子署名機能との連携の検討

•法人認証基盤をリモート署名機能における認証機能として位置付けて、 電子署名が必要な電子申請システムへの対応拡張

身元確認のオンライン化の検討

•法人代表者のマイナンバーカード（公的個人認証の電子署名用電子証 明書）の活用、法人登記に基づく法人代表者証明書等に活用による身 元確認

法人共通認証基盤の運営の在り方の検討

法人共通認証基盤

法人データ交換基盤

電子認証

電子署名

トラストリスト

電子証明書

タイムスタンプ

トラストリスト

まとめ



Society 5.0の仕組みとトラストサービス

–

フィジカル空間⇒サイバー空間 信頼性をデータの属性情報化する仕組み

–

サイバー空間⇒フィジカル空間 データの信頼性をエンティティに提供する仕組み



トラストサービス

–

電子証明書発行、電子署名、電子認証、タイムスタンプ、セキュリティ対応



各国制度

–

EU eIDAS、WebTrust、NIST SP800-53、SP800-171、SP800-63-3

–

日本における制度等



データの信頼性をエンティティに提供する仕組み

–

ROOT証明書、EUトラストリスト



経済産業省法人デジタルプラットフォーム

–

法人共通認証基盤

–

法人インフォメーション