その署名は危険!? 電子署名セキュリティ対策のために知りたい知識

こんにちは!Kdanライターの津山です。最近やっと世界中でコロナ対策ワクチンの普及が始まり、徐々に落ち着きを取り戻す気配がありますね!

しかし、今回のコロナを機に急速に普及した書類の電子化やビジネスにおけるeコマース化の流れは、今後も引き続き拡大すると予想されます。
そこで今回は、eコマース(EC・電子商取引)や取引書類の電子化で必須の電子署名と、そのセキュリティ対策について紹介したいと思います。

これを見れば電子署名とは何か?電子署名によりセキュリティがどのように確保されるのか?ということがスッキリわかります。
EC取引を始めたい、あるいは取引書類を電子化したい、という企業の方は必見です!

電子署名とは

電子署名とは、インターネット上で電子化された文書に対して行われる電子的な署名(サイン)で、またその中でも法的に正当性・安全性が確保されたものを指します。

紙文書の署名や押印に相当するもので、法的に有効な電子文書を作成する際に絶対に欠かせないのが電子署名です!
電子署名を利用することで、相手の確認、なりすましの防止、改ざんの防止が行われ、安心してインターネット上の取引ができるようになります。

電子署名とは

電子署名と電子サインは違う

電子署名はPDFで行う電子サインとは異なります。電子署名は、電子文書を暗号化しセキュリティを守る役割をもち、電子署名をすることで電子文書に法的根拠を与えることができます。

電子署名の関連法については以前Kdanのブログでも詳しく紹介していますので参考にしてください。

電子署名が必要となる書類は、インターネット上でやり取りする契約書や請求書、また会社の公開文書や重要書類等が該当します。

グローバルな取引の増加、またコロナによるリモートワークの促進により、インターネットを介した電子取引や社内重要書類の電子化は急速に加速しています。
今や多くの会社で、電子署名の利用なしにはビジネスが成立しない状況となりつつあります。

グローバルな取引

電子署名とセキュリティ

電子文書は実際の本人確認が難しいため、なりすまし者によるサインや改ざんの脅威から守る方法が必要です。
そこで「電子署名」がセキュリティを守る重要な役割を果たします。ここでは電子署名の役割と暗号化技術を紹介します。

電子署名の役割

電子署名とは、一言で表すと「秘密鍵を使って電子文書を暗号化した証明」です。
電子取引では、電子文書の法的担保及びセキュリティ確保のため、「公開鍵暗号方式」を用いて文書を送付する必要があります。

電子署名法で認められている公開鍵暗号方式には3種類(RSA暗号方式、DSA署名方式、ECDAS署名方式)ありますが、法的効力とセキュリティの面から、一般的には RSA暗号方式が使われます。
これは暗号化と復元で2つの異なる鍵(公開鍵(Public Key)と秘密鍵(Private Key))を使用する方法です。

RSA暗号方式では世界に1組しかない公開鍵と秘密鍵、電子署名によるデータの暗号化により、電子文書を改ざんやなりすまし者によるサインから守ることができます。
電子署名はこの「秘密鍵」により文書を暗号化する行為であり、セキュリティを守る重要な役割があります。

<公開鍵暗号方式の文書送付の流れ(RSA暗号化方式使用)>

  1. 送信者は、電子取引開始前に認証局に対して電子証明書の利用申し込みを行い、認証局から電子証明書を受理する。電子証明書の受理により、秘密鍵と公開鍵の一対一の対応付けが行なわれ、公開鍵の正当性が保証される。
  1. 送信者は電子文書を送付する際、ハッシュ関数によりデータをハッシュ値に変換したのち、秘密鍵により電子データを暗号化する(電子書名)。
  1. 暗号化された電子データを公開鍵(電子証明書)とともに相手に送付する。
  2. 受信者は受信した書類をハッシュ関数を用いて復元するとともに、電子署名を、送信時の暗号化に使用した秘密鍵に対応した公開鍵(電子証明書)で復元する。この時にデータが改ざんされていないこと、また送信者本人からのデータであることが確認された場合のみ、復元が可能となる。

ハッシュ値とは:与えられた原文から、必ず決められた長さ(160・256ビットなど)の制限を設けた乱数を生成する演算手法で求められる値のことです。電子署名の際、自動で作成されます。

総務省電子署名の仕組み

参考:総務省HP 電子署名・認証・タイムスタンプ その役割と活用

電子署名と暗号化技術

電子署名には公開鍵暗号基盤(PKI)と呼ばれる「暗号化」の技術が用いられています。
具体的には、公開鍵暗号で用いる秘密鍵と公開鍵の組み合わせと、その鍵ペアの所有者の関係を保証するための仕組み(基盤)です。

利用者は、電子取引の開始前に認証局に対して電子証明書の利用申し込みを行うことで、電子署名と電子証明書による仕組みが有効化し、セキュリティと法的効力が確保された電子取引を行うことができます。

電子署名を安心して利用するために

電子署名の利用時は、利用者側もセキュリティ面や電子証明書の期限切れに十分注意が必要です。ここでは利用者が特に注意すべき点を以下にまとめました。

  • 電子証明書の申請時に電子署名の利用範囲を確認
  • 電子署名を行う前に電子文書の内容に誤りがないことを確認
  • 電子署名を行うための秘密鍵のセキュリティ対策
  • 送信者の電子署名時に電子証明書が失効していないことを確認

万が一、秘密鍵が盗まれてしまうと、文書の盗用や改ざんのリスクが高まります。
そのため、利用者自身でも文書の変更履歴を随時チェックできるシステムや、電子署名した箇所が保護できるシステムを利用することをお勧めします。

また電子証明書が無効の場合、電子文書のセキュリティや法的効力が保証されません。
認証局(CA)から定期的に配布される失効リスト(CRL)により、送信者の署名時刻を見て、公開鍵の電子証明書番号がその時点でCRLリストに掲載されていないかどうかチェックしましょう。

電子証明書

まとめ

今回は電子署名とは何か、電子署名の仕組みとセキュリティ、電子署名の注意点などについて記載しました。最後に簡単にまとめると以下の通りです。

電子署名とは

電子文書に記録された情報をセキュリティ上の脅威(なりすまし・内容の改ざん・盗聴など)から守り、また電子文書に法的効力を持たせるために必要なもの。

電子署名とセキュリティ

電子署名とは、電子文書のやり取りで使われる「公開鍵暗号方式」の中で、秘密鍵により電子データを暗号化した証明。

電子署名の利用には認証局(CA)で電子証明書の申請が必要となり、電子署名と電子証明書を有効化することでで電子文書の法的効力とセキュリティを守ることができる。

電子署名利用時の注意点(①〜③は送信者、④は送信者と受信者)

  1. 電子署名の利用範囲の確認
  2. 電子署名の前に電子文書の内容を確認
  3. 電子署名に必要な秘密鍵のセキュリティ対策
  4. 電子署名時の電子証明書の有効性を確認

今やほとんどのビジネスに欠かせない電子署名。そのニーズは今後もますます増えることでしょう。
そこで最後に、万全のセキュリティ対策と使い勝手の良さで世界中から選ばれている、Kdan社の DottedSign をご紹介したいと思います。

Kdanが提供するDottedSignでは全ての電子署名の契約プロセスを記録し、暗号化通信をしているため、利用者が安心して利用できるセキュリテイ体制が整っています。

DottedSign のトラッキング(監査証跡)機能は、受信者から署名をした人まで、いつ誰がオンライン上で何をしたか詳細に記録されます。
またサインした箇所は不正開封防止機能によって保護され、サイン後の契約書に変更が加えられると、瞬時にアラートが表示されます。

電子署名セキュリティ - 監査証跡

全ての操作記録を保護し、バージョン管理を行うことで、会社の契約書類を改ざんやなりすましのリスクから守るため、秘密鍵の盗用対策もとしても有効です!

実際DottedSignは万全のセキュリティと操作性で高い評価を受け、利用者が昨年対比300%の増加となりました。

台湾で電子署名を用いた電子取引ビジネスを考えている皆様は、是非この機会に DottedSign をお試しください!

DottedSign

執筆者

一橋大学経済学部卒業。大学在学中は労働統計学を専攻、統計データを活用した労働市場の最適化を研究。日本の某大手メーカーで11年勤務、うち2年は台湾駐在。現在は台湾にあるデジタルマーケティングの会社に勤務。

電子署名ならDottedSign

無料で3タスクまでお試しいただけます!

今すぐ試す

もっと見る