98年11月  JEIDA駐在員・・・長谷川英一

米国におけるデジタル認証の動向-3-
(2)デジタル認証の有効性

 FBIの調べではコンピュータに保管されている情報、知的財産の盗用、悪用による被害は年間630億ドルにも達すると報告されている。さらに、コンピュータ・セキュリティ・インスティテュート(CSI)からはコンピュータ・セキュリティに関する被害の数は過去1年間で16%増加したという調査結果が発表された。また、ニューヨークに拠点を持つKPMGピートマーウィックが1000社の大企業を対象に行った調査では、インターネット上でのEコマースを開始する際の最大の障壁としてセキュリティ面の問題をあげた企業が41%にものぼることが分かった。このように、次世代にむけた安全なEコマースを保証するためにもデジタル認証技術の向上が強く求められているのである。

 さらに、企業活動が従来の中央集権的なスタイルから支店、支部により多くの権限を委譲するというビジネス・スタイルが普及していくにつれ、企業内の情報交換の回数は増加している。また、取引先の企業や顧客が世界中に点在する現在の企業環境では、遠隔地にいる社員や取引先企業、顧客などと安全で確実な電子取引を行うことが特に重要となっている。このような状況から、デジタル認証技術を駆使して身元を保証することによりEコマースの安全性を向上させようという試みが活発化している。

従来のアカウント名とパスワードを利用した認証システムに比べ、デジタル認証は次の3点で特に優れていると考えられる。

簡易性 : インターネットやイントラネットを利用した取引をする際に、ユーザー名やパスワードを記憶していなくても確実な身元認証ができるという点はデジタル認証の利用が簡易であることを象徴しており、人気が高い。また、取引の際には一度ログインしてしまえば、あとは必要に応じてブラウザが認証を提示する仕組みになっているのでユーザーの手を煩わせることはない。さらに、それぞれのサーバーでユーザー情報に関するデータベースを構築する必要がないので、認証の管理も容易である。

安全性 : 従来の認証システムではユーザー名やパスワードが不確実要素の多いネットワークを通過するという点が大きな問題であった。これに対し、デジタル認証は公開鍵という新たな概念を導入した。公開鍵は文字どおり誰にでも公開できるのであることから、ネットワークの不確実性に影響を受けない確実な認証システムであるといえる。

汎用性 : デジタル認証は、インターネット上で身元を保証する必要がある場合には、その具体的な用途に限らず様々な目的で利用することができる。

97年11月にフォレスター・リサーチがフォーチュン1000企業50社を対象に行った調査によると、代表的な理由とそれを支持する企業数の割合は図2のようになっている。特に、企業のファイヤーウォールを越えた部分で情報がやり取りされる際には、デジタル認証が保証する安全性、信頼性は絶大であると考えられ、セキュリティの向上を理由にあげた企業が圧倒的に多い。その他には、認証の利用が容易であること、身元認証が全世界的に通用するという汎用性などが主な理由となっている。さらに、対象企業のうち、72%が今後二年の間にデジタル認証を導入する計画にあり、20%が導入を検討しているということが分かった。また、約4分の1の企業がデジタル認証を既に利用していると報告された。ただ、これらは利用範囲が限られたパイロットテスト的なものがほとんどである。

出典:フォレスターリサーチ(97年11月)

 一方、デジタル認証を発行するCAは以下のような役割を果たさなければならない。

鍵の管理 : 公開・私有鍵の発行、更新、スペアキーの保管や、必要に応じては鍵の再発行や取り消しなどを迅速に行う。

標準に則った設計 : CAの発行する認証はX.509という認証標準、公開鍵の配布に利用されるX.500というディレクトリ標準に対応していなければならない。後者のX.500と共用するプロトコルとしてX.500よりも単純で使いやすいLDAP(Lightweight Directory Access Protocol)も利用されている。

信頼性の高いシステム : インターネットで信頼性の高いコミュニケーションを行うことを目的に、米国標準技術院(NIST)とそれに相当するカナダの政府機関CSEは共同でガイドラインを発表した。現在はこの「暗号文書の安全性に関する条件(Security Requirements for Cryptographic Modules)」FIPS PUB 140-1(Federal Information Processing Standard Publication 140-1)を参考にしてシステムの信頼性を向上させなければならない。

CAの具体的な方針の開示 : 誰がどのようにCAサービスを管理するか、問題が起ったときはどのような手続をとるかなど、様々なケースに対応しうる方針を利用者に開示する。

←戻る | 次のページ
| 駐在員報告INDEXホーム |
コラムに関するご意見・ご感想は hasegawah@jetro.go.jp までお寄せください。
J.I.F.に掲載のテキスト、グラフィック、写真の無断転用を禁じます。すべての著作権はJ.I.F..に帰属します。
Copyright 1998 J.I.F. All Rights Reserved.