16日、国内のセキュリティ関連組織、情報通信関連機関や団体のセキュリティプロフェッショナルが集まる「Security Day2009」が開催された。ITや情報セキュリティの専門家が、日ごろの取り組みや活動について発表やパネルディスカッションを行うものだ。その第1セッションでは、「電子認証のあり方―これまでの10年と今後の方向性」と題して各界からPKIや電子認証の専門家をパネラーに迎え、議論が行われた。
電子認証の普及度
モデレータは、セコムIS研究所 松本泰氏。パネラーは内閣官房情報セキュリティセンター 中西悦子氏、東京工科大学 手塚悟氏、イマーディオ 満塩尚史氏、日本電子認証協議会 秋山卓司氏の4名だ。
議論は、モデレータの松本氏による現状のネット社会の信頼性とその背景となる電子認証が必ずしもネットの信頼(TRUST)や社会やビジネスのために役立っていないのではないかという問題提起から入った。電子認証やPKI(公開鍵インフラストラクチャ)は普及しているが、利用はまだ限定的である。
このような現状の背景には、社会基盤としてのインターネットを考えたときに、認証や実在証明に「推定効」(訴訟において、反証がない限り、一定の条件を満たす電子署名がされた電子文書が本人の意思に基づいて作成されたものとして取り扱われるという効力)の適用を求め、無謬性(誤りのなさ)を求めすぎたことなどがあるのではないかと述べた。個人情報保護法の過剰な解釈や運用とあいまって、社会の発展を阻害してしまっていることはないかを検証してみたいとして、パネラーにマイクを譲った。
電子認証と電子署名との違い
これに対し東京工科大学の手塚氏が、確かに電子署名法の立法から10年の時代の変化を感じているとし、新しいネット社会の信頼性を考える時期であることを感じていると述べた。そして、電子認証や電子署名が社会の発展を阻害している点があるとしたら、署名と認証の違いが、実社会において明確になっていないこともあるのではないかと分析した。
PKIにおいて、電子認証と電子署名は共に公開鍵暗号方式という同じ技術で実現されているが、目的と機能は同じではなく混乱を招いている。また、電子署名を社会基盤として活用していくには、電子署名の本人真正性を保証する認証機関(民間認証局、公的認証局共に)の登録局(RA)としての役割が今後重要になるだろうとした。登録局の本人確認の厳密さが電子署名の基盤を左右するといっても過言ではないという意見だ。
現在の認証局のビジネス的課題
日本電子認証協議会の秋山氏は、認証局のあり方は確かに変化しているとフォローした。秋山氏は、認証局は、1994年のネットスケープが提唱したSSLプロトコルから始まっているとし、現在、ブラウザの南京錠マークの認知度は80%程度に達しており、このマークが出ていれば安全だという認識が成立している。しかし、その意味を正確に把握している人は決して多くない。漠然とウイルスチェックがされているマークと認識している人さえいるそうだ。南京錠マークは、第三者(認証局)によるサイトの実在証明と暗号化通信を意味しているわけだが、現実には、フィッシングサイトや一部のサイトでは、暗号化通信だけ行い実在証明を省いていることがある。
そのため、EV-SSLというより厳密な仕組みがでてきたわけだが、EV-SSLにも問題がないわけではない。まず、EV-SSLでは証明書に監査法人の監査が必要になり、小さい認証局にとっては管理コストの問題もでている。そして、当初は英語圏のことしか考えておらず、企業名の登録にアルファベットしか規定されていなかった。現在、EV-SSLに対応する証明書を取得する日本企業はローマ字表記による登録となる。上場企業はEDINET(有価証券報告書などの電子開示システム)に登録する英語表記名が必ずあるが、非上場企業は読み方や重複の問題が残る。日本の登記簿では社名表記に「読み」の規定はないこと。また、日本語のローマ字表記はISOの標準に従うと訓令式となり富士通は「Fujitsu」ではなく「HUZITU」となってしまうといった問題も内包している。これらの問題は、EV-SSLの証明対象のデータの一意性を崩し、EV-SSLを広く普及させる場合の混乱のもとになりかねない。
秋山氏は、認証局をビジネスとして考えたとき、EV-SSLの問題やマーケティング的なユーザー囲い込み戦略・競争原理が、信頼性とは逆の方向に作用する懸念も指摘した。
