新型コロナの影響で業務の電子化の推進が加速しています。電子署名もあちこちから注目を集めるようになって来て色々な電子署名サービスも出てきました。PKIと公開鍵暗号を使ったデジタル署名が主流でしたが他の方法もあります。デジタル署名は電子署名の1種ですが他の電子署名もあると言うことですね。昔から電子署名に関わって来た技術者から見ると正直言って現状は玉石混交です。でも電子署名サービスを判断する基準が今はありません。電子認証の世界では
NIST SP 800-63-3で認証保証レベルが規定され、米国以外(日本)でも使われています。と言うことで同じように署名保証レベルを決められないかと考えて見て案が出来ましたので公開します。これはまだ弊社案(ラング・エッジ案)となります。
その前にNIST SP 800-63-3を簡単に振り返ってみます。なお
日本語訳がJIPDECで公開されていますので、詳しくはそちらを見てください。認証保証レベルは3つの項目に分かれています。IAL(Identity Assurance Level)、AAL(Authenticator Assurance Level)、FAL(Federation Assurance Level)です。IALが本人確認、AALが認証手段、FALが連携手段に関するレベルと言えます。これに対して電子署名の場合には、署名本人確認レベル、署名技術手段レベル、署名運用監査レベルの3つの保証レベルに分けることを提案します。
署名本人保証レベル:SIAL
Signature Identity Assurance Level | 署名者の本人性をどうやって確認したか |
|---|
署名方法保証レベル:SMAL
Signature Method Assurance Level | 電子署名をどのような方法で保証するか |
|---|
署名運用保証レベル:SPAL
Signature Policy Assurance Level | 署名サービスの運用や監査のレベル |
|---|
色々なレベルが考えられると思いますがまずはこれだけあればかなり電子署名サービスの特長は掴めると考えています。
それでは次にSIAL/SMAL/SPALについてレベルの内容を具体的に考えてみます。
1つ目が
SIAL(署名本人本人レベル)です。電子署名では「誰が」と言う点が重要ですので署名者の本人性確認をどのレベルで行っているかを判定します。PKI認証局ではCPに記載されていることが多いです。この項目は電子認証(SP 800-63-3)の本人性保証レベルのIALとほとんど同じになるのかなと思います。
| 署名本人保証レベル:SIAL |
|---|
| レベル1 | メール到達と同程度の本人性を確認 |
|---|
| レベル2 | 準対面(オンラインの本人確認可)で提示された属性を確認 |
|---|
| レベル3 | 公的な確認(マイナンバーカード・商業登記等)を利用 |
|---|
| レベル4 | 国際的に認められる本人確認(国際認定・相互運用) |
|---|
2つ目が
SMAL(署名方法保証レベル)です。電子署名では最低でも「本人性(否認防止)」を、更に保管されることから「非改ざん性」や「時刻保障」の要件を提供する必要があります。これを実現する1つの方法がPKIを使ったデジタル署名ですが、最近では認証技術の進歩から電子認証のログによる方法も使われるようになりました。
| 署名方法保証レベル:SMAL |
|---|
| レベル1 | 認証時と操作のログで確認
※ ログ等で 当人確認 の証拠提示可能
|
|---|
| レベル2 | レベル1に加え、改ざん防止
※ 当人確認+非改ざん の 証拠提示可能
※ 第三者署名による保証でも良い
|
|---|
| レベル3 | レベル2に加え、標準化技術と時刻保証
※ 第三者検証可能な標準技術の採用
|
|---|
| レベル4 | 国際的取り決めに従った標準仕様採用
※ 国際認定・相互運用
|
|---|
3つ目が
SPAL(署名運用保証レベル)です。いくら本人確認や署名技術がしっかりしていても、運用が明確に公開されていないと署名者として安心して利用ができません。監査を受けていたり公的な認定があればもっと良いですね。PKI認証局ではCSPに記載されている内容になります。
| 署名運用保証レベル:SPAL |
|---|
| レベル1 | 一般的なWebサイトの運用とポリシーレベル |
|---|
| レベル2 | 署名運用ポリシーを決めてCPS等で公開 |
|---|
| レベル3 | 署名運用ポリシーの認定や監査済み(国内認定基準) |
|---|
| レベル4 | 国際的に通用する署名運用ポリシーの認定(国際認定・相互運用) |
|---|
3つの
電子署名保証レベルは別個に判定できます。でも署名本人確認レベルが1なのに他のレベルだけ3となるとバランスが悪い気がします。その意味ではトータルの電子署名保証レベルは3つの項目のうち最も低いレベルとすべきでしょう。署名本人確認レベルが1なら他がレベル3でも全体レベルは1と言うことです。
実は他にも幾つか保証したい確認ポイントがあります。例えば
検証に関する保証レベル:SVALも考えられます。PKI方式のデジタル署名では第三者が署名の内容を検証することが可能ですので保証できます。一方で認証や操作のログを保存している場合には保証してくれるのは運用サービス側の言うことを信じることになります。その場合に望ましいのは検証可能なログを証拠として提出できることです。当然ながらログ保存されてから改ざんされていないことも保証できないとレベルが低いと言うことになります。
PKIベースのデジタル署名の場合には、認定認証局発行の証明書をリモート署名のレベル2以上で運用されている場合には3つの署名保証レベルは全てレベル3になります。私は長くPKI技術者を生業としていますがやはり安心感は高いと思います。ただしコストや手間が増えるので正直全ての用途に向いているとは思いません。会議室を予約するような電子申請には認証ベースでログが残っていれば良いでしょう。つまり署名保証レベル1でも十分過ぎると言えます。
今回考えた電子署名保証レベルは用途を考えてどのレベルが必要かを判断する時に役立つのでは無いかと考えています。業界標準のガイドラインができると良いと考えており、この電子署名保証レベルに関しては今後
JNSA電子署名WGで検討して行くことになりそうです。その際にはPKIやデジタル署名だけでなく広く公平な目で「電子署名」を再定義したいと考えています。また今日ここでまとめた案とは少し違った内容になるかもしれません。多くの方の知見を集めて電子署名保証レベルをまとめられることを期待しています。もしご興味があれば是非JNSAの電子署名WGにご参加ください!
