ちょっと教えたいお話  最近のセキュリティ事情
  • 国のDX推進施策と新型 コロナ禍によるニューノーマル時代にあって、デジタルデータ化やその運用にまつわる問題が多く取り沙汰されるようになっています。デジタルデータの信頼性、安全性、真正性といったデジタル社会の根底を支える技術として、暗号化や電子署名等の技術があります。今回は最新のセキュリティ事情としてデジタル署名、電子インボイス、PPAP問題をご紹介します。

デジタル署名

デジタル化された文書(電子文書)は誰でも作ることができてしまうため、本人が作成したことを証明する「デジタル署名」という仕組みがあります。これは「ハッシュ関数」「公開鍵暗号方式」「公開鍵暗号基盤(PKI)」という技術を組み合わせたセキュリティ技術によって実現され、次の3つを保証できることが大きなポイントです。

  1. 作成者が本人であることを証明できる
  2. 電子文書が改ざんされていないことを証明できる
  3. 本人が署名したという意思表示(否認防止)

3について補足すると、当人以外は署名できないという前提に基づく仕組みですから、デジタル署名をした時点で、「確かに承認した」という文書に対する責任が発生します。契約上のトラブルで論争があった場合、契約者が契約書の内容を否認しようとしても否認できない、ということです。

▲図1:デジタル署名の生成と検証の仕組み

デジタル署名検証ガイドライン

デジタル署名の仕組みは以前からありましたが、改ざんを証明できると言いながらも、困ったことに、どのように証明するか、という具体的に標準化された正式な仕様はこれまで存在しませんでした。署名が有効であるかどうかを検証するには、標準化された検証項目リストが必要です。署名の検証はソフトウェアが機械的に行うものなので、仕様が具体的で明確でなければ、ソフトウェアによって検証結果が異なってしまいます。2021年4月15日、日本ネットワークセキュリティ協会(JNSA)から、「デジタル署名検証ガイドライン」が公表されました。最新のデジタル署名規格に対応したことで、ガイドラインではありますが、この状況が改善されることが期待されます。


eシール

デジタル署名が個人に紐づけられ、個人の意思表示を示す証明書であるのに対し、eシールは、発行元を証明するための証明書で、組織に紐づけられています。わかりやすく言えば企業の角印に相当するものです。このため企業等が発行する請求書等の書類の発行元証明としては最適であると言えますが、日本では、まだ法整備の途上にあり、まだ普及は進んでいません。現在「電子インボイス推進協会」で標準化がすすめられている「電子インボイス」において、デジタル化された適格請求書の発行事業者の確認事務を目的として、eシールの適用が検討されているため、法整備も急ピッチで進むのではないかと予想されます。


電子インボイス

2023年10月から導入予定となっている「適格請求書等保存方式(インボイス方式)」で適格請求書が電子化され、「電子インボイス」が利用されるようになります。適格請求書とは、これまでの請求書や領収書にいくつかの記載事項を追加したものです。具体的には(1)課税事業者の登録番号、(2)適用税率、(3)税率毎の消費税額の3つです。2019年に消費税率が複数税率になったことを受け、適正な消費税の税額計算のために保存が義務付けられます。会計処理が複雑化することから、インボイス制度の完全デジタル化を目指して国と企業などが連携し、「電子インボイス推進協議会(EIPA)」で国際規格「Peppol(ペポル)」に準拠した標準化を目指しています。フォーラムエイトの「スイート法人会計」「スイート建設会計」も「電子インボイス」に速やかに対応します。


PPAP問題

2020年11月平井デジタル改革担当大臣が、内閣府と内閣官房でPPAP(パスワード付きZIPファイルとパスワードの2回送信)を廃止することを発表しました。PPAPとは「PP暗号化プロトコル」を意味する造語で、JIPDEC(一般財団法人日本情報経済社会推進協会)の大泰司章氏が、以前はやったピコ太郎の『PPAP』の響きが「プロトコルっぽい」という知人の指摘にヒントを得て命名された、暗号化したファイルの送信手続きのことです。「送信したいファイルをパスワードつきZIPファイルとしてメールに添付して送信」、「解凍用のパスワードを別メールで送信」することによって、第三者に奪われないようにしようという考え方です。

PPAPは、これまで「慣行」的に広く普及していましたが、外部からの攻撃でパスワード付きZIPファイルが窃取された場合、同じ経路で送信されたパスワードも容易に窃取できるため、セキュリティ上の意味はほとんどありません。また、情報が搾取される以上に問題なのが、暗号化されたzipファイルをメールサーバーがチェックできないため、マルウェアなどのウイルスの侵入を許してしまうという点です。このため暗号化されたzipファイルはそもそも送らないし、受け取らないようにしよう、というのが最近の流れです。PPAPに変わる安全なファイル送信手段としては、クラウドストレージサービスを経由したファイル送信があります。フォーラムエイトでは、ユーザー様向けにクラウドストレージを利用したファイル転送サービスを無料でご提供しています。p.104で紹介していますのでぜひご覧ください。


 

前ページ
    
インデックス

LOADING