JNSAメールマガジン 第59号 2015.4.24.☆★☆

こんにちは
JNSAメールマガジン 第59号 をお届けします。

4月も半ばを過ぎ、新入社員の方々もそろそろ社会人生活になじんできた頃ではないでしょうか。
JNSAでは、自組織の社員や職員の情報セキュリティの理解度を知ることができる「JNSA情報セキュリティ理解度チェックサイト」を運営しています。新入社員の情報セキュリティ研修にも活用していただいていますので、ご興味ある方はぜひ一度サイトをご覧下さい。
「JNSA情報セキュリティ理解度チェックサイト」
 http://slb.jnsa.org/eslb/
さて、リレーコラムはJNSA電子署名WGメンバーによる全4回の連載の3回目です。
今回は、電子署名WGメンバー/NTTセキュアプラットフォーム研究所石本英隆様より寄稿いただきました。

【連載リレーコラム:テーマ「電子署名」】
「欧州におけるトラストサービスの信頼リスト(トラストリスト)」
(電子署名WG/NTTセキュアプラットフォーム研究所 石本 英隆)

4月10日のリレーコラム「欧州における電子認証と電子署名の新たな動き(eIDAS規則)」では、電子署名WGサブリーダの佐藤氏より、欧州での電子識別とトラストサービス(Trust Services)の法制度であるeIDAS規則と、これに伴う標準規格の再構築の動きについて紹介がありました。今回は、各国のプロバイダが提供する電子署名関連サービスなどの、トラストサービスの相互利用上の信頼性確保のためのメカニズムである、「トラストリスト」(TrustedLists 以下 TLと記します。※注1)について紹介し、併せて、日本版TLが実現された場合の効果とその実現に向けた課題についてにも簡単に考察したいと思います。なお、本稿は、4月10日に開催されました、PKI day2015でのセイコーソリューションズ株式会社 村尾氏の講演と連動していますのでそちらのスライドも併せてご覧いただけますと助かります。
(タイトル:「トラストリストと信頼のグローバル化」)
http://www.jnsa.org/seminar/pki-day/2015/data/1-2_murao.pdf
注1: "Trust Service status List" (TSL)ともいう。

◆eIDAS規則におけるTLの位置付け

eIDAS規則の目的は、トラストサービスによるEU加盟各国の連携強化がもたらす経済的競争力の向上にあります。EU各国が提供する電子署名関連サービスの相互運用性確保はEUにとって重要な課題です。eIDAS規則ではEU加盟各国に対し、そのサービスプロバイダと提供サービスを審査し、管理監督する仕組みを設けるよう義務づけています。また、審査結果を公表し、加盟各国で相互に参照できる仕組みを設けることで、各国間での相互運用を可能にしています。このサービスプロバイダと提供サービスが掲載されているリストがTLです。

◆EU版TLの発行管理責任

「1つの国に1つのTLを設ける。」がEU版TLの大原則です。EUに未加盟の国も含めて、現在、31カ国が自国のTLを制定・発行しています。自国のTLはその国の責任で管理されています。各国の管理責任が明確化されているからこそ、EU各国は他国のTLを信用できるのです。また、TLの更新が遅れることで、本来無効と判定すべき署名(証明書)が検証をすり抜けてしまうリスクを避けるため、公開されているTLは常に最新であるよう維持されなければなりません。これも重要なTL発行国の責任の1つです。

◆EU版TLの構造

EU版TLのフォーマットは、ETSI TS 119 612で規定されています。他のeIDAS関連規格と同様に、欧州規格(European Norm : EN)に向けた改定作業が進められている最中です。

TLはXMLで記述されており、スキーマ定義の他、各項目の意味や用法、項目の要否等が詳細に規定されていて、コンピュータによる機械処理が可能です。様式や用法の統一は相互運用上重要な観点です。

TLは、(1)「スキーム情報部」、(2)「トラストサービスプロバイダのリスト」、(3)「署名部」、の3つのパートに大きく分解されます。

    (1)「スキーム情報部」は、いわゆるTLのヘッダー部に相当するパートです。
    ここには、
    • このTLの識別等のための属性情報
    • その国が定める「スキーム」に関する規定への参照先情報
    • 相互運用相手国などの関連する他のTLへの参照先情報
    が格納されています。

    TLの属性情報の例としては、識別番号、バージョン番号、発行元名称と連絡先、TL発行日や次回更新予定日などがあります。

    「スキーム」は、その国の「トラストサービスの進め方」を示すものです。具体的には、@その国で提供されるサービスの種類とeIDAS規則で定めるサービスやETSI技術規格等との対応関係、A当該国の法的根拠となる法律の表明、B当該国のプロバイダの評価機関や告知機関についての規定、C当該国の審査認定手続きに関する規定、等から構成されています。スキームは各国独自に定められており、技術面だけでなく、法律面および運用面についても規定し表明することで、当該国がトラストサービスの社会的効力を支えているということが理解できます。

    「他のTLへの参照先情報」のフィールドには相互運用相手国のTLを指すURIが入ります。なお、EU委員会では各国のTLを取りまとめた、"List of TrustedList"(LOTL)と呼ばれるTLを発行していて、EU加盟各国のTLでは、関連国ぶんのTL参照先情報を列挙する代わりに、このLOTLの参照先情報を掲載しています。

    (2)「トラストサービスプロバイダのリスト」には、その国でサービスを行う全プロバイダの情報が格納されています。これは個々のプロバイダ毎のリスト構造になっています。個々のリストの先頭部分に、プロバイダの名称、住所や連絡先情報、情報を公開先URI等のプロバイダのプロパティ情報が格納されます。それに続いて、当該プロバイダが提供するサービスのリストとサービス毎の認定ステータス(Supervision/Accrediation status)が掲載されています。なお、この情報については、当該プロバイダへの認定審査が開始となった時点でTLに掲載され、また認定が取り消された後も国が定める期間まで、TLに掲載され続けられます。これはTLの大きな特徴の1つで、サービスの認定履歴がTL上に掲載され続けられていることによって、プロバイダ廃業後の署名やタイムスタンプの検証情報の散逸防止に有効です。

    (3)「署名部」は、このTLの信ぴょう性と完全性を保証するものです。

    署名はEnveloped 型のXAdESで、XAdES-BESまたはXAdES-EPESが用いられます。

◆日本版TLの可能性と課題

日本版TLの実現は、トラストサービスの利用者に、より便利で安全なトラストサービスの検証手段を提供することになります。その効果については、以下があると考えています。

    (1)現行の国内CAサービス、タイムスタンプサービスの枠組みを再整理できる。

    国内で使われている電子証明書には色々なものがあります。例えば、民間の事業者が行う電子証明書発行サービスでは、外部機関(指定調査機関)による認定を必要とするもの(いわゆる特定認証業務)もあれば、特に認定を要しないものもあります。また、これらの民間事業者が発行する証明書の他にも、商業登記局発行の証明書や、HPKI証明書、JPKI/GPKI/LGPKIの各証明書等、色々な種類の証明書が利用されている状況です。日本版TLの検討においてスキームを策定し、現行制度やその枠組みが再整理されれば、審査基準などが統一され、結果として国内プロバイダの提供サービス同士の相互運用も現行よりし易くなるものと考えます。

    (2)プロバイダ廃業後での、ユーザでの証明書/TST検証の厳密性が向上する。

    これは、実際に待ったなしの課題です。現在のCA事業者やタイムスタンプ事業者の認定ステータスについては、その審査認定機関のサイト等で認定されている間のみ確認することができますが、認定の取り止めや廃業の場合は、当該サイトから削除され、過去の認定ステータスを取得する手段がない状況です。TLを導入し、過去の認定履歴を掲載し続けることで、証明書やタイムスタンプの発行当時の認定ステータスを確認することが可能になり、検証し易くなります。結果として証明書やタイムスタンプの普及促進に繋がるものと考えています。

    (3)諸外国(特にEU各国)との相互運用が容易になる。

    前述のとおり、日本のトラストサービスを規定しそのスキームを表明することは、TLを介した他国との相互運用を容易にします。ただし、そのためには、既存の国内の認定基準や法制度の一本化に加え、そのスキームが相互運用相手国のスキームに相当するレベルに達していることが必要になるものと考えます。

◆まとめ

今回、eIDASを含めEU版TLやその審査の枠組みについて調査を行いましたが、その本質を知るほどに、EUとのギャップを思い知らされる結果となった次第です。EU各国の総体で連綿と進められたeIDAS規則に対し、日本では規格やルールが未制定・未整理で、決して"同等"と言える状況にありません。法整備も含め多くの課題があり、日本版TLの実現は決して容易なことではありませんが、トラストサービスを用いた社会基盤の構築は不可避になりつつあります。JNSA電子署名WGとしては関連する団体等と連携しながら検討を進めていく予定です。


#連載リレーコラム、ここまで

<お断り>本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。


【部会・WG便り】

★「情報セキュリティ講師紹介のページ」を開設しました。
 http://www.jnsa.org/edu/koushi/index.html

 JNSA教育部会メンバーからなる情報セキュリティ講師をご紹介しています。講師紹介ページへの登録をご希望の方は、JNSA事務局までお問合せください。


★「JNSAインターンシップ交流会」
  5月9日(土)に東京大学 本郷キャンパスにて開催します。
  インターンシップ受け入れ予定の企業とインターンシップに興味をもっている学生が対象です。ぜひ学生の方にもご案内ください。
  スケジュール詳細、お申込みは↓こちら↓から
  http://www.jnsa.org/internship/event.html
 
  JNSAインターンシップ実施企業も募集中です。
  昨年度の実績は下記URLをご参照ください。
  http://www.jnsa.org/internship/2014/index.html

【事務局からの連絡、お知らせ】

★セミナー割引販売のご案内
 JNSA会員企業の方を対象に、(ISC)2公式CBKレビュートレーニング、SANSトレーニング、セキュアEggs の受講料を「10%割引」でご提供します。6月のCISSPレビュートレーニング、セキュアEggsはキャンペーン価格でお申込み受付中です!
 お申込みはJNSA事務局までお願いします。

★2015年度JNSA定時総会のお知らせ
 6月9日(火)に秋葉原UDXギャラリーネクストにてJNSA総会を開催します。同会場でJNSA活動報告会も開催予定です。
 詳細は後日ご案内いたします。


★登録情報にご変更がある方がいらっしゃいましたら、事務局までご一報をお願いいたします。


☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン 第59号 
発信日:2015年4月24日
発行: JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.