サイバートラスト株式会社が考える「トラストサービス」のあり方

2019年2月13日 日本データ通信協会 セキュリティ 0

サイバートラスト株式会社
副社長 執行役員 兼 CTO
北村 裕司 氏

 サイバートラスト株式会社は、情報セキュリティ分野における我が国のリーディングカンパニーの一つである。幅広い業務を展開するが、とりわけ電子認証サービスの分野では草分け的な存在で、トラストサービス関連サービスの提供においても先導的な動きを続けている。
 同社の副社長・執行役員兼CTOの北村裕司氏にトラストサービスのあり方についてお話を伺った。

PKI分野での長い活動と豊富な経験を有するサイバートラスト

―最初にサイバートラスト株式会社の沿革と概要について教えてください。

 2017年10月にサイバートラストとミラクルリナックスという会社が合併をして今のサイバートラストが誕生しました。その源流には、以前に存在したサイバートラストが2000年に日本ボルチモアテクノロジーズと合併し、ワールドワイドな動きの中で最終的にサイバートラストという社名に落ち着いた経緯があります。

 現在のサイバートラストは、電子認証・セキュリティ事業とLinux/OSS事業、IoT事業が3本柱になっています。電子認証事業自体は旧サイバートラストが注力しており、SSL/TLSサーバー証明書の事業、マネージドPKIという電子認証局をアウトソースするサービス、端末認証のサービスなど証明書に関わる事業を行ってきました。

―PKI分野での活動は長いのですね。

 2001年頃に「政府認証基盤(GPKI)」ができたり、電子署名法やIT書面一括法が施行されたりするなど、いわば“第一次電子契約ブーム”とでもいうべき動きがありました。弊社はすでに認証・セキュリティ領域でビジネスをやらせていただいていましたが、様々な規格が林立する中、弊社としても今で言う“トラストサービス”のようなものができるのではないかと、セイコーさんと組ませていただいたり、アドビさんと組ませていただいたりしながら事業を推進したという経緯があります。

 その後、欧州で「eIDAS規則」への検討が動き出し、そこで弊社としても改めて2001年当時にトライした事業を新しい動きに応じてやっていこうということになりました。そのタイミングで「タイムビジネス推進協議会」が立ち上がり、貴協会とは、その当時からいろいろなご縁でご一緒にさせていただいている次第です。

―3つの事業のボリュームは?

 電子認証事業が最も大きく、OSS事業がほぼ同じ規模で続いています。IoTはまさにこれから。将来の成長の柱にしていきたいと考えています。

―北村さんのバックグラウンドとこれまでのお仕事について教えてください。

 この会社の初期、PKI事業を立ち上げるタイミングで2000年頃から20年近くPKI事業に携わってきました。2001年から2006年ぐらいまでの第1次電子契約ブームの中で、大手キャリア様の電子認証基盤のコンサルティングをしたり、グローバルメーカーのPKIインフラに携わったり、弊社が提供するサービスの企画にも携わってきました。

―北村さんはもともと技術系ですか?

 大学時代は経営学専攻です。私が社会に出る頃は経営に与えるITの影響が大きくなり始めており、そちらの道に進みました。経営学を勉強すると、従来の「人・モノ・金」という資源に加えて「情報」が重要になるといわれていた頃です。

―ITの中でもセキュリティやPKIの分野は分かりにくい分野だと思いますが。

 学生時代に何を勉強したのかとは別に、社会に出る時には皆がゼロスタートだと思います。その中で、何が自分にとって、世の中にとってプラスに働くのかを考えた時に、私の場合、それがITだったということではないかと思います。興味があれば勉強をするし、勉強をすれば、自然と身にもついてくる。失敗もしましたが、失敗をすれば、その分覚えることもあります。たしかにPKIやトラストサービスはIT業界の中でも分かりにくい分野だと思いますが、要はそこに飛び込んで仕事を継続できるかどうかではないでしょうか。単純にそう思います。

 また、この分野はテクノロジーだけで成り立っているわけではありません。PKI自体、テクノロジーは要素の一つで、最も重要なものはポリシーです。それを支えるオペレーションがあり、テクノロジーがあり、ファシリティがあり、システムがある。それらのすべてが統一的なポリシーの下にオペレーションされて信頼性を得ていくことが重要なので、一概に技術系でなければできない、あるいは文系ではできないとは言えない分野です。トラストサービスになると、さらにグローバルスタンダードはどうか、法的な視点で見るとどうか、商習慣から考えるとどうかなど総合的な知識と視点が必要であり、それらがないと、お客様のプラスになる形でサービスを実装していくのは難しいのではないかと思います。

電子契約のスムーズな運用を実現するトラストサービス

―貴社のトラストサービス事業についてお聞かせ下さい。

 弊社のトラストサービスは、「iTrust」というブランドで「本人確認サービス」、「電子署名用証明書」、「リモート署名サービス」から構成されています。
 「本人確認サービス」は、2016年9月に「公的個人認証サービス(JPKI)」のプラットフォーム事業者として総務大臣認定を取得しました。マイナンバーカードを用いた公的個人認証が民間でも利用できるように法令の改正がされましたので、その認定を受けました。たとえばファイナンシャル系サービスの口座を開設する場合、住宅ローン等の電子契約で犯罪収益移転防止法に基づいて本人確認が求められる場合などにお使い頂けるものです。

iTrust本人確認サービス

 2つ目が「電子署名用証明書」です。電子署名法に基づく認定認証業務が存在していますが、これは、それとは少し違っていて、より現実的な課題に対応するものです。

 日本における電子契約では、ほとんどの場合、PDFが活用されています。PDFには「AATL (Adobe Approved Trust List)」という独自のフレームワークがあり、ここに登録されている信頼された認証局から発行された電子証明書によって電子署名されたPDFファイルは信頼できるPDFファイルであることが視覚的に表現されます。BtoBであれば、その他にも様々な方法で信頼性を確保することができますが、消費者向けの契約を考えると、AATLへの対応は実務的に重要なポイントになってきます。

 弊社では、この実務的に重要なポイントの解決と信頼性の向上のために、電子署名専用のルート認証局として国際的な監査規格である「WebTrust for CA」に合格し、「AATL」への登録も完了しています。

iTrust電子署名用証明書

 3つ目が「リモート署名サービス」です。「eIDAS規則」ではリモート署名の要件が定められ、欧州では非常に一般的になってきており、日本でもそうなりつつありますが、クラウドサイドで秘密鍵を預かり、電子署名を行って、お客様にその結果を提供するクラウドサービスです。日本ではPDFの利用が多いため、基本はPAdESをベースに対応しています。しかし、いくつかの要件においてXMLが用いられることもありますので、そちらにも対応が可能です。

iTrustリモート署名サービス

 「iTrust」はこの3つのサービスで構成されていますが、これらは一つの流れを構成しています。最終的に目指すのは電子契約ですが、その電子契約において、その電子証明書が本当に本人のもので、その人によって契約がなされたことをどのように担保するかがポイントになります。それを考えた場合、しっかり審査され信頼できる真正な電子証明書を使うことがポイントの一つですし、その電子証明書を発行するにあたって本人性を確認しているかが重要です。なおかつ署名に関しては、リモート署名サービスを堅牢な施設で運用し、秘密鍵を厳重に管理するなどした上で、安全にこれらのプロセスを実行することが重要です。それらをご提供するのが「iTrust」です。

 先端的な企業の対応は進んでおり、すでに実践している会社やサービスは山ほどあります。例えばクラウドサイドで署名をしているケースはすでにたくさんありますが、そこで秘密鍵がどれほど安全に保管・運用されているのかが分からない場合もある。本人が実際に意思表示をして署名を行ったのかどうかを推定するに際して、例えば「eIDAS規則」では主体者の「ソールコントロール(sole control)」という概念がありますが、現在活用されているシステムがそうした要件をどの程度取り入れたものとなっているかははっきりしておらず、今後お客様に不安が出てくる場合も想定されます。現在は、むしろ利便性やコスト削減を目的に様々なサービスが利用されているケースが多いと思います。

「紙と印鑑の文化」を覆し日本の生産性の向上に貢献したい

―日本ではサービスの展開が事業者ベースで進んでおり、EUなどと比べると法的な整備が十分ではない面があります。

 何が安全なのか、どこまでやれば法的な要請を満たすのかといった枠組みについて、現在の日本に明確な基準がないのはご指摘の通りです。ですが、弊社ではPKI事業を二十数年やらせていただいており、弊社のサービスの枠組みの中で電子契約を行っていただければ、一定水準以上のトラストを提供できると考えています。弊社の場合、「WebTrust for CA」に合格し、「AATL」の監査も受けたサービスを提供しており、現在最も信頼されている認定の取得を前提に、少なくともこれでダメなら他社のサービスもダメだというレベルのものを提供していこうとしています。

―北村さんが現在目指しているものは何ですか?

 日本の生産性は低いと言われます。日本はかつてブルーカラーの生産性がとても高かったですよね。それに対し、アメリカが国際競争力を高めるためにホワイトカラーの分野で戦おうとした。その流れの先にITの活用があります。翻って今の日本はホワイトカラーの生産性が非常に低い。

 それが何故なのかを振り返ったときに、「紙と印鑑の文化」の問題があるように思うのです。あらゆるビジネスプロセスが電子化されようとしているのに、途中で紙に落とされて印鑑を押す。しかし一気通貫で、デジタルで流れるようになれば、会社に来なくても家で仕事ができる人は増えますし、働き方改革や様々な生産性の向上につながります。2000年当時、当社がPKI事業の基本コンセプトを考えたときに留意したのが、このホワイトカラーの生産性向上でした。当時は、まだそうした目標にチャレンジする企業は少なく、いくつかの大きなプロジェクトを推進しましたが後が続きませんでした。最近、そこが変わってきたのかなと思います。

 私たちはこの分野で活動されている他の企業様と戦うよりも、皆で力を合わせてそうした世界を作っていきたいと思っているので、今回トラストサービス推進フォーラムができあがった際にも、ぜひご一緒させていただきたいと考え、参加した次第です。世界で大きな流れがある中で、小さい日本の中でいがみ合っていてもメリットがありません。

ユーザーの選択肢をせばめず、グローバルに対応できるトラストサービスの枠組みづくりを

―ビジネスはボーダーレスで、日本の企業もグローバルな動きに直接影響を受けています。私ども「トラストサービス推進フォーラム」では、最終的にはトラストサービスでEUとの相互認証を狙っています。

 現実的な問題としてグローバルなニーズはまだ小さいと感じています。ヨーロッパで事業を展開しているお客様から「eIDAS規則」に準じた証明書の発行ができるかなどといった問い合わせがあったりはしますが、実際の契約で「eIDAS規則」に基づく実装などの要望はまだありません。実務的には「AATL」に対応をし、視覚的に確認できることが重要だという点はよく話をします。弊社では、現状でのグローバルスタンダードと言ってもよい「WebTrust for CA」という枠組みを選び、それに則ってサービスを提供しています。これと「eIDAS規則」および今後の日本における「eIDAS規則」相当の枠組みとの関係がどうなるかはまだ分かりませんが、現状では、私どもが事業をするに際して現状で最も適切だと考えられる方式を採用させて頂いていると言ってよいと思います。

 景気がよく企業が儲かっていた頃と違って、現在は生産性向上やコスト削減に対する企業の熱意は高まっています。そうすると、細かいところでは印紙税を削減できるならば導入しようなどという動きにもなります。社会的な変化で課題は変わってきており、今はチャンスかなという気がします。大手の銀行が電子契約をやろうなどという雰囲気は2000年当時にはありませんでした。大手企業様の中で一部の挑戦的な企業様がトライをするというのがせいぜいだったのが、今日ではエスタブリッシュメントと言える企業様が電子契約を導入することをためらいません。そこは本当に変わったと思います。

―そうした中トラストサービスに対する議論が我が国でも始まっています。北村様ご自身が考える理想のトラストサービスはどのようなものですか?

 実ビジネスをやっていくにあたっては、使い勝手がとても重要だと思っています。一部のサービスがこれまで受け入れられなかった中には、煩雑さに問題があったり、コストがあまりに高いといったことがあったりすると思うので、当然守らなければならないレベルはあるとは思いますが、例えば何らかの電子署名を利用していることを否定するべきではないという基本的な考え方は大事にしたい。日本では、得てして認定された資格を取らないとダメだという風になりがちで、それが阻害要因になってはいけません。もちろん、ゆるければよいと思っているわけではありませんが、ユーザーの選択肢をせばめることになるのはよくないのではないでしょうか。

 ヨーロッパは規格を作り、それを実施していく文化があり、アメリカには事実上の標準を広めていく文化がありますが、どちらが正解ということはないはずでバランスが重要だと思っています。トラストサービスは規格的な要素が重要な分野だとは思いますが、実ビジネスの展開にとってそれらが制約になるようなやり方はできるだけ避けた方が良いのではないかと考えています。

―ユーザーの選択肢をせばめず、なおかつ安全性を確保する仕組みが必要だと。

  例えば、印鑑を使う場合にも、実印と認印の使い分けは誰もが行います。あらゆる場合に実印が必要というわけではないというのは昔からある考え方で、トラストサービスにも同じことが言えるのではないかと思います。「eIDAS規則」でも電子署名に求める要件のレベルは一つではありません。

―一方で、「IDとパスワードの運用で構わない」という考え方もあり、それは懸念されるところです。

 がちがちにやりすぎると、そうした反動も出てきてしまうということではないでしょうか。

―そうした意味でもリモート署名には期待をされているのでしょうか?

 クライアント環境とクラウド環境のどちらが安全かという議論を考えると、2000年当時と今とでは状況はまったく変わってきています。それに問題は自分だけが使えるということを如何に担保するかであって、どこに鍵があるのかが問題ではありません。

―法人向けにも証明書を提供されていますが、「eIDAS規則」に定めるeシールのような使い方がなされるのでしょうか?

 PKI事業者が提供しているドキュメントサイニングサービスの系統は、基本的に組織に対して審査を行っており、事実上法人向けです。しかし、企業が発信するIR資料など様々な文書に署名をして、その出自が確かであることを示して公開する用途にも利用でき、その場合には「eIDAS規則」のeシールに相当するものと理解して頂くのがよいと思います。
 日本では法的にeシールに該当する規定はありませんので、電子署名法上の担保はありませんが、公開文書への署名という利用の仕方は従前からあります。弊社でも海外との制度の違いは当然意識しており、リーガルパーソンとナチュラルパーソンの定義を踏まえ対応をしていますし、証明書のプロファイルや審査のプロセスも参考にしています。

―トラストサービス推進フォーラムへのご意見、ご期待を一言いただけますか。

 トラストサービスは新しい分野ですので、様々な議論が出てくると思いますが、規格を作る際には、ディスカッションをしっかりして、世の中の状況を受け入れていくことが大切ではないかと考えています。特定の一社ではない公益性のある団体が、こうした大きな流れを主導していくのは大変素晴らしいことだと思っており、いろいろな意見を取り入れながら、よりよい方向をオープンに議論する場を提供して頂くよう願っています。日本にこうした団体が立ち上がったこと自体に大きな意義がありますし、その活動に尽力されている皆様には感謝の言葉しかありません。

(インタビュー:トラストサービス推進フォーラム事務局 伊地知、齋藤)