インターネットで買い物をするのはもう当たり前。今後は,戸籍抄本などの公的な文書やさまざまな契約書などの私文書をやりとりするなど,実社会でしかできなかったことまでインターネットでできるようになりそう。part1のプロローグでは,PKIが必要な理由から見ていこう。
インターネットが爆発的に普及したことで,ビジネスにインターネットを活用するのはもう常識。その流れはさらに,行政や地方自治体にも広がっている。日本政府が進めるe-Japan(イージャパン)構想により,インターネット上で申請書を提出できるようになるなど,さまざまな行政サービスを利用できるようになっている。
しかし,オープンなネットワークであるインターネットで重要な情報をやりとりしようとすると,実社会にはない問題にぶつかる。本人認証である。
たとえば実社会であれば,運転免許証やパスポートといった「本人しか持ち得ないもの」を提示することで,ほとんどのケースで簡単に本人と確認してもらえる。しかしインターネットの世界では,実際に本人同士が面と向かってパスポートなどの証明書を確認できない。そのうえ,やりとりされるデータはすべてディジタルのデータなので,改ざんされやすい。やりとりする内容や本人の確認を確実にするのは,なかなか難しい。
インターネットの四つの脅威を確認する
具体的に,公的文書や契約書などのビジネス文書をインターネットでやりとりする場面で,問題となる点を確認してみよう。問題は大きく四つある。それは,(1)盗聴,(2)改ざん,(3)なりすまし,(4)否認――である(図1)。
(1)の盗聴は,通信内容を第三者に知られたり,盗まれたりしてしまうことである。通信の内容が第三者に漏れてしまう危険性があると,社外秘の文書や極めてプライベートな手紙などを安心してやりとりできない。
(2)の改ざんは,通信内容を書き換えられてしまうこと。送り手から受け手に送ったデータを第三者が途中で横取りし,内容を一部変更して受け手に向けて送り出す。契約書をやりとりする途中で金額を書き換えられるようなことが起こりうるネットワークだと,ビジネスには利用できない。
(3)のなりすましは,通信の相手に正体を偽れ ることだ。面と向かって話ができればそれだけでも本人と確認できるが,ネットワークではそれは無理。相手がだれであるか確認できる方法がないと,インターネットをビジネスには使えない。
(4)の否認は,通信した事実があるのにその事実や内容を否定すること。これも,インターネットが安全確実なコミュニケーションの手段として満足できるものでないから起こりうる。
整理すると,インターネットをビジネスのインフラとして利用していくためには,ネットワークを介してデータのやりとりをしている相手が真に本人であること(同一性),データが改変されていないこと(真正性),処理が正当に行われたこと(正当性),これらを電子的に確認すること(電子認証)が必要条件となる。
その基礎となるのがPKI。PKIは,実際に面と向かっていない通信相手に対して,公開鍵暗号方式という技術を使うことで,電子認証や電子署名を実現するためのシステムであり,インフラである。
