電子文書のセキュリティリスクを回避

電子署名とは〜仕組みとメリット〜

電子署名は、紙文書でのサインや印鑑に相当するもので、電子文書に電子署名を行うことで、その文書が「いつ」「誰に」作成されたものかを証明し、文書の改ざんを防止します。電子文書のなりすまし作成や配信によるセキュリティリスクから企業を守り、ペーパーレス社会における電⼦⽂書の信頼性を向上させます。

無料PDF資料

カタログ

「電子文書の改ざんとなりすまし作成を防ぐ【電子署名とは】」配布中!

ビジネスの様々な場面で使われているWordファイルやPDFファイルなどの電子文書。企業間の取引や契約、配布する公的な資料など、電子化されたファイルは作成者なりすましや改ざんのリスクがあります。そのような被害から作成側である組織・企業を守るには、電子文書への電子署名が有効です。安全なペーパーレス環境構築をご検討中のお客様向けに、電子署名の基礎知識と役割、活用法と利用が推奨される業界例、導入するメリットをまとめたPDF資料を作成いたしました。
資料ダウンロードはこちらから

電子署名とは

電子署名とは、紙文書におけるサインや印鑑に相当するもので、電子文書に電子署名を行うことで間違いなくその文書が署名者本人のものであることと、内容が改ざんされていないことを証明します。

紙文書には押印したりサインすることで、その文書が原本であることを証明しますが、電子文書には直接手書きのサインをしたり押印することはできないため、原本であること・改ざんされていないことをどのようにして証明するかの問題があります。 それらを解消するため、電子文書に対しては「電子証明書」を用いた電子署名を行います。

電子証明書は紙文書における「身分証明書」「パスポート」にあたり、認証局(CA)と呼ばれる第三者機関にて本人認証と厳しい審査を経て発行されます。電子署名された電子文書は、間違いなくその人によって作成されたものとして、相手に信頼してもらうことができます。

電子署名の役割

電子署名には、以下の2つの役割があります。

電子署名で作成者と日時を証明

電子署名とタイムスタンプにより、文書の作成者と日時が記録され、なりすましが作成したものでないことを証明します。

改ざんを防止(されない・できない)

電子署名が付与された文書は、第三者によって変更することができなくなります。また変更が検知されると警告が表示されます。

電子署名の仕組み

電子署名は、データが正しいものであると証明する「公開鍵」と、送信者がデータをする「秘密鍵」を利用した公開鍵暗号基盤(PKI)が使われており、データの改ざん検知と署名者(文書作成者)の特定を行うことができます。 秘密鍵と公開鍵はペアになっており、秘密鍵は受信側だけが保持している鍵なので、そのペアとなっている公開鍵でしか復号化はできません。 秘密鍵の持ち主以外知り得ないと言う前提であれば、その暗号データがその持ち主の秘密鍵で暗号化されたデータであることがわかります。

電子署名の仕組み

電子証明書を使った電子署名の流れ

送信する側は相手に渡す情報を秘密鍵で暗号化し、公開鍵と電子証明書を添付して送信します。すると受信者側は電子証明書が有効なものかどうかを認証局に確認します。 電子証明書の有効性が確認できたうえで、公開鍵を使って情報を解読できれば、電子署名の本人からの電子データであるということが確認できるのです。

電子証明書を使って文書に電子署名を行う流れ
  1. ハッシュ関数を使ってデータを圧縮(ハッシュ値を作成)
  2. 秘密鍵を使って、文書を暗号化。電子証明書を使って電子署名
  3. 電子署名付き暗号化ファイルを送信。
  4. 電子署名に含まれている暗号化されたハッシュ値を公開鍵で復号
  5. 送られてきたファイルからハッシュ関数を使ってハッシュ値を作成
  6. [4]で復号したハッシュ値と[5]で作成したハッシュ値を比較

改ざん検知について

データの改ざんの有無は、「ハッシュ値」という電子データごとのユニークIDのようなものをつけることで確認ができます。 上記の電子署名の流れの例では、まずAさんの文書のハッシュ値を「秘密鍵」で暗号化し、電子署名をつけてBさんに送ります。これを受けとったBさんは、Aさんの公開鍵を使って電子署名のハッシュ値を復号化します。次にBさんが受け取った文書のハッシュ値を出して比較します。この2つが一致すれば、改ざんされていないことが分かります。

では、なぜ2つのハッシュ値を比較して同一であれば改ざんされていないと証明できるのでしょうか。それは、元データが一部でも異なれば、同一のハッシュ値が出力される可能性が非常に低いというハッシュ値の特徴を利用しています。2つのハッシュ値を比較して同一であれば元データも同一である言えるのです。

※ハッシュ値:あるデータをハッシュ関数を使って演算した結果。同じ元データからは同じハッシュ値が得られ、少しでも異なるデータからは同じハッシュ値が得られる可能性はほとんどありません。また、ハッシュ値とハッシュ関数から元データを算出することはできません。

ペーパーレス時代における電子署名の必要性

昨今、契約・ワークフロー・決済処理・取引など、業務における様々な場面での電子文書(ペーパーレス)化が推奨されていますが、単純にペーパーレス化を進めるだけでなく、気を付けなければいけない点がいくつかあります。 もし管理方法を誤りインシデントが発生した場合、会社の信用問題にも発展しかねません。

また紙文書では、契約書や見積書といった重要書類に印鑑や手書きのサインがされることで文書における証明性の効力が発揮されますが、電子文書へ直接手書きの署名・押印を行うことはできません。仮に署名・押印を行った紙文書をスキャンして保存したとしても、画像となった署名・押印は容易にコピーできてしまうため、証明性の効力を発揮できません。

電子文書の管理の問題

  • 原本と同一のコピーが簡単
  • 改ざんがあっても痕跡がわからない
  • 作成日時が操作できる
  • データ消失や互換性喪失のリスク
  • 関連法律を遵守しないと効力が発揮されない

改ざんのリスク1) ファイル交換による流出事故にみせかけた決算発表資料

「ファイル交換ソフトで偶然流出したスクープ!」と偽り偽物の決算発表資料を配布
インターネットの情報は本物と嘘の見分けがつきにくい。巧妙な偽装と風評流布も簡単に・・・
風評があっという間に広まり会社の信頼が失墜。株価が大幅に下がるなどの影響。

改ざんのリスク2) 偽のウェブサイトに捏造したプレスリリースを掲載

悪意あるネットユーザがとある企業の偽ウェブサイトを立ち上げ、偽造したプレスリリースを掲載。この情報を証券掲示板やスパムメールによって流布。
流布された情報が株価に影響し、偽ウェブサイトを立ち上げた者が多額の利益を得た。
企業は被害に遭っただけでなく、適切な対策を 講じていなかったとされ、企業イメージの大幅ダウンの影響が長らく残る結果に。

そこで電子文書が「いつ」「誰に」作成されたのか、また作成後の改ざんが無いかを証明するために使用されるのが、電子署名です。

ペーパーレス化における電子署名のメリット

紙での文書管理の場合、印鑑や手書きのサインで本人が認めたという証明を行いますが、電子文書の場合、認証局から発行された電子証明書を使用して電子署名を電子文書に追加することにより、その文書に署名者本人が署名したこと(本人性)を保証します。電子署名は文書全体を暗号化し、第三者によって内容が改ざんされることは無いため、署名者本人がこの電子文書を作成したこと(非改ざん性)を担保し、不正に改ざんされた場合には検知することができます。この事から、文書の真正な成立を保証します。

また、電子契約においては、電子署名が署名や押印と法的に同等であることを明記した電子署名法や、会計情報を電子データとして保存することを認めた電子帳簿保存法など、実用化にあたっての法的準備も整っており、電子文書への高い信頼性が担保されます。
電子署名に関連する法律について

コスト削減

文書を電子化することにより、紙代・印刷代の削減が実現する他、書面での契約では必要な印紙代や郵送・持参のコストも、電子契約では削減可能です。また文書の保管場所も必要なくなり、保管に関する費用も削減できます。

承認ワークフローの効率化

電子証明書を用いたワークフローシステムを導入すれば、時間や場所の制限をうけずに帳票申請や承認・署名が行えます。また、電子文書は管理・整理も楽になり、検索を行えば情報が探しやすくなるため、余計な時間をかけずに必要な文書にたどり着けます。

セキュリティ・信頼性担保

電子署名された電子文書は、改ざんが行われた場合改ざんを検知しますので、重要書類の改ざん防止を行えます。また作成者を証明するので文書の身元を保証し、信頼性を担保します。

ご相談・お見積もり

電子署名ソリューション・製品・提携パートナーに関するご質問や、導入に関するご相談・お見積もりにつきましては、下記フォームにてお気軽にお問い合わせください。

03-6370-6500
(平日10時〜18時)
お問い合わせフォームはこちら

ページのトップへ戻る