コラム:電子証明書についてもっと知りたい
電子証明書って何?
現実の世界で、重要な取引で契約書を取り交わすときには、通常実印と印鑑証明書を利用されると思います。つまり、契約の相手方は印鑑証明書と実印で押した契約書があれば、正当な相手と契約したと考えることが一般的です。
しかし、インターネットの世界では、印鑑も印鑑証明書も存在しません。その代わりに「電子証明書」と呼ばれる電子的な証明書を活用して、重要な取引をしています。
電子証明書って誰が発行するの?
「印鑑証明書」は区役所や市役所などの行政機関から発行されますが、「電子証明書」はそのサービスを提供する提供者自身が発行したり、発行のみを第三者に委託するケースが一般的です。
三井住友銀行の「ValueDoor」の場合は、三井住友銀行が電子証明書を発行します。
電子証明書を活用するとどうして安全なの?
現実の世界で現金を引き出すときは、通常ATMでキャッシュカードという「物体」と、暗証番号という「情報」を用いると思います。その場合、キャッシュカードが無くなったなったら、大体気づきますよね?!
さて、インターネット上でサービスを利用するときには、「IDやパスワード」という「情報」だけを用いるのが一般的です。しかし、この場合「情報」だけでは、盗まれたときに本人が盗まれたことに気づきにくいという弱点があります。無くなったものがありませんから。
そこで「電子証明書」をパソコン端末やICカードなどの「物体」に格納することで、「IDやパスワード」という「情報」と組み合わせれば、「物体」と「情報」の両方が必要になるので、現実の世界と同様の安全性が確保されます。だから電子証明書を活用すると、安全だと言われています。パソコン端末やICカードが無くなったら、大体気づきますよね?!
三井住友銀行の「ValueDoor」の場合は重要な取引でこの電子証明書を活用しています。
昨今話題の「スパイウエア」、「ファイル交換ソフト」は「情報」(IDやパスワードのこと)が外部の第三者に渡ってしまうものですが、電子証明書を活用していれば、「情報」だけを取得したとしても、不正に利用することは極めて困難になります。
電子証明書でどうやって本人確認するの?
電子証明書は「公開鍵暗号基盤(=Public Key Infrastracture(以下PKI))」と呼ばれる世界標準の「暗号」技術を利用しています。
具体的には他人に渡すことを前提にした「公開鍵」と他人に渡さないことを前提にした「秘密鍵」という2つの電子的な鍵を使います。
この技術の特性として「公開鍵」で暗号化した情報はその公開鍵に対応した「秘密鍵」でしか解けませんし(解読といいます)、「秘密鍵」で暗号化した情報はその秘密鍵に対応した「公開鍵」でしか解けません。この公開鍵の所有者を証明するものを「公開鍵証明書」と呼びますが、この「公開鍵証明書」には「電子証明書」が利用されます。電子証明書は認証局とよばれる機関から発行されます。
「公開鍵」は通常「電子証明書」と「暗号化情報」をセットで取引の相手方に渡されます。受け取った相手方は「電子証明書」が正当なものであるかどうかを、インターネットを通じて認証局に確認します。そこで「電子証明書」が正当であれば、「公開鍵」の所有者を確認できます。
同時に受け取った「公開鍵」で「暗号化情報」を解読します。
この暗号化情報が既に持っている「公開鍵」で解読できれば、先程述べた技術特性から、対応する「秘密鍵」で暗号化された情報と推定することができますよね?
また「秘密鍵」は他人には渡さないというのも、先程述べた通りですので、これで「秘密鍵」で暗号をかけた相手が、「公開鍵」の所有者であることが確認できます。
つまり、「情報の送り手が誰なのか?」ということが、確認できます。(本人確認)
現実の世界に例えると?
現実の世界に例えると、「秘密鍵」を実印とするなら、「公開鍵」は「その実印の印影」、公開鍵証明書は「印鑑証明書」といえます。つまり、「実印」を相手に渡すことはありませんが、「その実印の印影」は契約書等に押印して、「印鑑証明書」と一緒に相手に渡します。
「その実印の印影」は通常一つの実印からしか作ることができませんから、「その実印の印影」と「印鑑証明書」との一致と、「印鑑証明書」の有効性が確認できれば、正当な契約書として受入れますよね?(もちろん、それ以外の契約書記載内容に疑義が無い場合です)この場合「印影から実印を複製することもできるじゃないか?」というご意見もあろうかと思いますが、その点はむしろPKIの方が安全で、PKIは高度な数学的な技術を用いて暗号化しているので、現在の技術では、「公開鍵」から「秘密鍵」を割り出すことは、何年もかかるといわれています。
通常「秘密鍵」は先程述べたパソコン端末やICカードといった「物体」の中に「電子証明書」と共に格納されます。「物体」に格納されるわけですから、「実印」と同じように厳重に管理して下さい。
秘密鍵、公開鍵、電子証明書はどうやって入手すればいいの?
通常は電子証明書の発行者に、所定の方法で発行の申請をすれば、一定の審査を経て交付されます。
三井住友銀行の「ValueDoor」の場合には三井住友銀行所定の手続で三井住友銀行に申請をすれば、パソコン端末に格納するタイプの電子証明書の場合、インターネット上でダウンロードに必要な情報を三井住友銀行から申込者に通知します。
ICカードに格納するタイプの電子証明書の場合、三井住友銀行でICカードに格納して申込者に交付します。
なお、「秘密鍵」「公開鍵」については、電子認証方式の場合、電子証明書ダウンロードと同時に端末内で作成し、ICカード認証方式の場合、三井住友銀行にて電子証明書とともにICカードに格納して交付します。
電子証明書は絶対に安全なの?
いいえ。技術的には最も安全なインターネット上での本人確認手段といわれていますが、結局はご利用者ご自身がきちんと管理されないと、絶対に安全であるとはいえません。
たとえば、実印やキャッシュカードを人目のつくところに放置したり、第三者に貸したり、暗証番号を他人に教えたりしたら安全とはいえませんよね?
それと同じでパソコン端末やICカード、パスワードやその他三井住友銀行から通知する情報につきましては、特に厳格に管理いただくことが重要です。