「電子データの証明書『タイムスタンプ』」■第3回■ | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.20(金)

「電子データの証明書『タイムスタンプ』」■第3回■

特集 特集

2005年4月1日からの「e-文書法」(通称)の施行にともない、従来は「紙」での保存が義務付けられていた書類を電子データで保存することが容認されることとなった。ただ、電子データは複製や改ざんが容易である。電子データでの安全な保存・保管を実現するには、電子データが複製や改ざんされたものではなく「唯一のもの」であるという原本性の確保が課題である。そのためのソリューションとして注目されているのがタイムスタンプである。

日本データ通信協会は、このほどタイムスタンプを発行する民間の時刻認証事業者やタイムスタンプに用いられる正確な時刻の配信事業者を対象に「タイムビジネス信頼・安心認定制度」をスタートさせた。その認定制度の概要を報告するとともに、企業のコンプライアンスなどの視点からも重要視されているタイムスタンプについて解説する。

●タイムスタンプを付与する時刻認証業務には
 電子署名方式とリンキング方式がある

前回のレポートでは、「タイムビジネス信頼・安心認定制度」が認定の対象とする業務について紹介した。その対象となる業務とは、民間事業者が行う「時刻配信業務」と「時刻認証業務」の2種類の業務である。

このうち、時刻配信業務とは、情報通信ネットワーク、つまりはインターネットを通じて時刻情報を配信する業務と、配信先の時刻情報を計測して報告を行う時刻監査業務のことである。日本データ通信協会によると現在(2005年4月22日時点)では、セイコーインスツルと時刻情報事業を手がけるアマノの2社が時刻配信事業者として「タイムビジネス信頼・安心認定制度」の認定を取得している。

時刻配信事業者は、それぞれの事業者が保有する時刻配信用サーバから日本標準時、あるいは協定世界時にもとづいたの時刻の配信を行うとともに、配信証明書(時刻配信・補正レポート)を発行したり、時刻の計測やモニタリング、時刻に異常があった場合のアラームの通知などのサービスなどを提供するが、認定を取得した2社については、配信する時刻の正確性はもちろんのこと、それに付帯するさまざまな事業の信頼性が認められたということである。

一方、今回のレポートで詳しく解説する時刻認証業務とは、わかりやすく言うと、「タイムスタンプの付与業務」である。あわせて、当該のタイムスタンプの検証にかかわる業務も含まれる。

タイムスタンプの技術とは、時刻配信業務の認定を受けた「信頼できる時刻」と文書などのデジタル情報に対して、タイムスタンプが付与された時刻以降に「変更や改ざんがあったかどうか」を検知できる情報=「タイムスタンプトークンを付与する技術」である。その技術では、デジタル情報のハッシュデータに時刻情報などを付与して電子署名として発行するなどの方法が一般的に利用されている。

この時刻認証業務においては「デジタル署名を使用する方式」と、あるタイムスタンプトークンに含まれる情報を他のタイムスタンプトークンに含まれる情報に関連付ける(リンクさせる)ことで、新たにひとつのタイムスタンプトークンを生成し、タイムスタンプを、いわば時系列的に結びつけることで、より高い信頼性と安全性を確保しようという「リンキング方式」の2種類の方法がある。どちらの方式を用いても今回の「タイムビジネス信頼・安心認定制度」の認定は受けられるし、認定制度が要求する基本的な技術基準には違いはない。

●タイムスタンプを付与する時刻認証業務は時刻の配信・監査ともに
 タイムビジネス信頼・安心制度の認定機関から受けなければならない

さて、それでは時刻認証業務において、「タイムビジネス信頼・安心認定制度」の認定を取得するには、どのような技術基準を満たすことが求められているのだろうか。

まず、時刻認証業務を遂行する、つまりはタイムスタンプを付与するためには、「正しい時刻」を得ることが大前提である。その正しい時刻を得るための時計システムは「時刻ソース」と呼ばれているが、その時刻ソースについて、日本データ通信協会では次のように定めている。

・タイムスタンプトークンを生成する際のタイムスタンプサーバの時刻ソース(タイムスタンプで使用する時計システム)を確認できる手段を有すること。

さっと読んだだけでは、何を意味しているのかわかりにくいのであるが、ようするに時刻認証業務を遂行する事業者には「時刻の精度を証明できる手段」と「時計の品質を証明する手段」を確保することが求められているのだ。

【執筆:下玉利 尚明】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×