実社会では、企業同士で取引の契約を交わす際、契約書には必ず社印と代表社印を捺します。個人の買い物でも、書類と印鑑が必要な場面は少なくありません。紙の文書であれば、捺印やサインは本人が認めた証になりますが、電子文書では実印を画像にして添付してもコピー&ペーストは容易ですから、本人の証明にはなりません。この記事では、「電子署名」の役割とその必要性について整理します。

電子署名はどんな役割を果たしているか

「電子署名」は、電子文書やプログラムなどの電子化された情報に対し、作成者の証明やデータに改ざんがないことを立証するために使われるもので、実社会での印鑑やサインに相当します。

印鑑やサインも契約書や見積書などに使われるのと同様、電子署名は電子文書につけることではじめて効力を持ちます。電子署名をするためには、電子証明書が必要となり、その電子証明書は「認証局」と呼ばれる専門の認証機関に申請して発行されます。実社会で言うなら、その印鑑(電子署名)が本物あるいう印鑑証明書(電子証明書)のような役割になります。電子署名をつけておくことで、メール送信者や電子ファイル、プログラムの作成者が本人であると証明され、中身が改ざんされていないことが実証できます。

電子署名はビジネスシーンでどう使われるか

具体的なビジネスに当てはめて、電子署名の役割と機能を確かめてみましょう。

GさんがSさんに請求書を送る場面です。Sさんは、受け取った請求書の内容に改ざんがなく、そしてGさん本人の作ったものと立証できれば、Gさんの請求書を受領できます。

ここで登場するのが「公開鍵暗号方式」です。公開鍵暗号方式は、暗号化(復号)するときに、誰でも取得可能な「公開鍵」と作成者側だけが保持している「秘密鍵」という2つの別々の鍵を使うのが特長です。

同じ鍵同士では復号できないため、例えばGさんの「秘密鍵」で暗号化したものを復号できるのは、Gさんの「公開鍵」。Gさんの「公開鍵」で暗号化したものを復号できるのは、Gさんの「秘密鍵」となります。

ill_pkisignature.png

請求書が改ざんされていないかは、「ハッシュ値※」という電子文書ごとのユニークIDのようなものをつけることで確認ができます。まずGさんは請求書のハッシュ値を「秘密鍵」で暗号化し、電子署名をつけてSさんに送ります。これを受けとったSさんは、Gさんの公開鍵を使って電子署名のハッシュ値を復号します。次にSさんが受け取った請求書のハッシュ値を出して比較します。この2つが一致すれば、改ざんされていないことが分かります。

※ハッシュ値…電子文書をハッシュ関数を使って演算した結果。同じ元データからは同じハッシュ値が得られるが、少しでも異なる電子文書から同じハッシュ値を得るのは、ほぼ不可能。また、ハッシュ値とハッシュ関数から元の電子文書を算出できない。

ill_digitalsignature.png

Gさんの公開鍵はSさん以外の人でも入手できますが、秘密鍵はGさんしか持っていないため、“ Gさんの公開鍵を使って復号できる情報 = Gさんが秘密鍵で暗号化したもの ”と立証できるのです。

電子署名の必要性

電子署名の活用によって、電子文書を作成した人が間違いなく本人であること、そして改ざんされたものではないことが保証されますが、残念なことに電子署名の不備を突く犯罪も発生しています。

典型的な手口は“フィッシング”と呼ばれ、成りすましによる情報の搾取です。例えば、電子メールなどで偽造サイトに誘導し、銀行の口座番号やクレジットカード番号と有効期限、パスワードなどを入力させてデータを不正利用します。こうした犯罪に対して、金融機関やショッピングサイトなどの事業者は、メールに電子署名を施し、認証局が発行した電子証明書を付けることで予防につながります。ユーザは、メールの送信者名や接続先サイトのアドレスをよく確かめることはもちろん、メールに電子署名が付いていたら、署名者の情報を確かめることも必要です。

また、データの改ざんも企業にとってはリスクが高い犯罪です。悪意ある人物が特定の企業に損害を与えようとして、メールサーバなどに悪質なプログラムを仕掛け、情報を改ざんしてしまう行為も起きています。企業間でやり取りする請求書や注文書の内容が書き換えられてしまっても、現在のインターネットと電子メールの仕組みでは、改ざんを立証することは困難ですが、電子メールに電子署名して証明書を添付しておくことで、データが改ざんされた場合はメールソフトから警告がでるようになります。このように電子商取引の信頼性をより高めていくためにも、電子署名の拡がりは欠かせません。

電子署名の種類

すでに実用化されている電子署名の代表的なものでは、下記のようなものがあります。

電子文書への署名

契約書などの文書、ExcelやPowerPointなどのソフトで作成した業務文書、報告書などに電子署名を行います。作成者が署名を施すことで、作成者や作成日時などのデータの正確さを保証します。いったん署名した文書に変更が加えられると、検出できるようになっています。

コードサイニング署名

ソフトウェアに対する電子署名です。ソフトウェア製品の開発や販売を行う事業者が電子署名を施すことで、不正な二次販売や改ざんを防止できます。電子証明書を発行する際は、認証局が厳密な審査を行います。

S/MIME署名

電子メールに使う電子署名です。S/MIMEは電子メールに適用する暗号化方式の一つで、この署名を用いることで、送信者が本人である立証と、内容に改ざんがないことを保証できます。銀行などの金融機関をはじめ、最近は企業から送られてくる連絡メールには、電子署名付きが増えてきました。

その他にも、IRデータやニュースリリースの配信など、公開情報に対する発信者の証明、あるいは議事録の改ざん防止、製造物責任法(PL法)対応における生産記録の記述内容の保証など、さまざまな用途で使われています。また公共の分野でも、国税や地方税の電子申告における本人確認、申告内容の保証、行政機関が実施する電子入札の応札者の証明、特許庁への申請時の内容証明などで電子署名が活用されています。

実社会のサインや印鑑同様、重要な電子署名

これまで見てきたように、電子署名の機能と扱い方を知っていれば、インターネットをより安全に接することができます。またインターネットがインフラになっている現在は、ビジネスでも社会生活でも、電子署名が必要とされる場面はますます拡がっていくでしょう。電子署名を様々なシーンで使いこなしながら、同時に安全性に対する意識を高めていくことが大切です。

トピック関連記事

#

2017年10月24日

サイバー犯罪者から電子メールの安全を確保する方法

#

2016年07月21日

対策はお客様だけの責任ではない!メール送信者側が企業責任としてフィッシング詐欺対策を進めるための具体的方法とは

#

2021年01月12日

【動画で解説】2020年に流行したマルウェア EmotetとIcedIDの脅威と対策

この記事を書きました

グローバルサインブログ編集部

グローバルサインカレッジ編集部
所属:GMOグローバルサイン マーケティング部
当サイトの運営・管理を担当。