原本性保証電子保存システムの開発

Development of an Authenticated Secure Electronic Storage System


国分 明男 1)谷内田 益義 2)山口 雅浩 3)
Akio KokubuMasuyoshi YachidaMasahiro Yamaguchi

1)
(財)ニューメディア開発協会 開発本部 (〒108-0073 東京都港区三田1-4-28 三田国際ビル23階 E-mail : kokubu@nmda.or.jp)
2)
(株)リコー ソフトウェア研究所 (〒112-0002 東京都文京区小石川1-1-17 とみん日生春日町ビル7階 E-mail : yachida@src.ricoh.co.jp)
3)
東京工業大学 像情報工学研究施設 (〒226-0027 神奈川県横浜市緑区長津田町4259 E-mail:guchi@isl.titech.ac.jp)

Abstract Obligatory storage of documents in the form of papers has been requested by law especially in the field of corporate finance for audit purposes. In order to change storage of such documents from paper media to electronic media to proceed further computerization of the Japanese society, the government is going to revise law and to permit electronic storage under the satisfaction of to-be-defined requirements An authenticated secure electronic storage system was developed to match such requirements. Experimental evaluation of the system was successfully done. The concept of the authorized original (“Genpon-sei-hosyou” in Japanese) storage was implemented with a logical packaging of storage media and an authenticated access control. An original attribute, an authorized original attribute and an authorized copy attribute in a file system were implemented with a directional transition control to assure the originality of documents.

1. 背景

高度情報通信社会の構築に向けた動きを加速・推進するために、法律に基づく書類保存の電子化は、幅広い業界からの規則緩和要望や行政の電子化推進等の政策的問題意識を受けて、平成6年以来内閣高度情報通信社会推進本部制度見直し部会等で論が進められて、昨年2月に「高度情報通信社会推進に向けた基本方針」が閣議決定されている。

同基本方針では、行政の情報化の基本的な方向として『セキュリティの確保に留意しつつ、「紙」による情報の処理からネットワークを駆使した電子化された情報の処理へ移行し、「電子的な政府」の実現を進める。』と明言している。

その趣旨に基づき、保存義務がある書類の電子化については、電子化により紙による書類に比べ「保存性」、「一覧性」、「証拠性」等の特性が低下する(消去・劣化の可能性がある、不可視である、改変しやすい)点に対して、「システム安全対策基準」等で補完した電子保存システムを採用するか、当面電子化を見送るかのいずれかを省庁が選択する方向で検討が進められてきた。

例えば、通商産業省関係法律による書類の電子保存については、「システム安全対策基準」等の社会システムによる補完を前提に平成8年4月以降電子化を進めることにしており、大蔵省所管の税務関連帳票や労働省の労働安全基準関係書類等においては社会システムによる採用を認めず、当面電子化を見送ることにしている。

しかし、紙による保存と比べて、「保存性」、「一覧性」、「証拠性」等の特性が低下しない電子保存システムが開発・実証 されれば、社会システムの援用を経なくても全ての保存義務を電子化出来ることが可能となり、「電子的な政府」実現への基盤となりうる。

さらに、国税庁「帳簿書類の保存等の在り方に関する研究会」では、帳簿書類をデジタルディスク等に電子データで保存することを、内容を改ざんされないようにしたり、簡単に閲覧できるようにする等の保存条件のもとで、認めるべきだとする報告書を出している[1]。これを受けて、大蔵省と国税庁は帳簿保存に関する新法を国会に提出し、早ければ平成11年から電子帳簿が認められるとの新聞報道がなされている。この結果、企業等においても事務コストの大幅な削減が可能になると期待されている。

2. 目的

通商産業省からの出資を受けて情報処理振興事業協会が実施する「創造的ソフトウェア育成事業」の一環として進められてきた「原本性保証電子保存システムの開発」[2]は、上記のような背景に対応した電子保存システムの開発・実証を行うことにより、保存義務がある書類の電子化が技術的な観点からは障害とならないことを社会的に認知してもらうことを目的としている。

すなわち、保存義務のある書類(原本)の保存を、TTP(Trusted Third Party)等の第三者による公証を用いずに、電子的に可能にすることであり、そのために、紙と同じレベルでの安全性及び機能を電子的に実現することが目的である。具体的には、原本性を保証する機能を備えることによって「証拠性」及び「一覧性」の要件を満たす電子保存を行う装置を開発し、ホスト装置上のアプリケーションソフトウェアから文書の保存、閲覧等の一連の操作が可能なシステムの開発を行うことを主たる目的とする。なお、「保存性」については、追記媒体の採用等により強化する。

但し、技術的な対策が本開発によって実現されるとしても、「紙」が有している原本性保証への脅威に対する、組織的な対策(メーカーや利用者等が自主的に管理・運用規定等を作成、実施)、及び制度的な対策(法令等の整備及び監査の実施等)と同様あるいはそれらを参考とする、組織的な対策対策及び制度的な対策が別途必要であることは言うまでもないことであろう。

以下では、原本性保証の概念、論理的パッケージ化の実現、開発システム、開発ソフトウェア、評価実験結果について述べ、紙と同等の「保存性」、「一覧性」、「証拠性」を実現する観点から、本開発の有効性を明らかにする。

3. 原本性保証の概念

(1) パッケージ化と認証機能

以下では、原本性保証電子保存システムにおける原本性保証の概念を説明する。

保存義務のある書類等を保存する場合には、図1に示すように、外部からの物理的不正アクセスを防ぐこと(強固な金庫等)と、利用者による論理的不正アクセスを防ぐこと(管理者による認証等)の対策が考えられる。

電子的に保存する情報に対しても、同様のセキュリティを確保するために、物理的不正アクセスと論理的不正アクセスに対して、図2に示すように電子保存システムをパッケージ化する方法が考えられる。すなわち、物理的不正アクセスに対しては「メディアのパッケージ化」の対策を取り、論理的不正アクセスに対しては「CPUによる管理」の対策をとることが考えられる。

今回開発した原本性保証電子保存システムにおいては、CPUによる管理とメディアのパッケージ化に加え、保存されているファイルの原本性を保証する目的で、「ファイル属性に基づくアクセス管理」を加えたメディアのパッケージ化のために必要な技術を開発した。

(2) パッケージ化の仕組み

今回の開発には盛り込まないが、最終的には、図3に示すように「制御プログラムのROM化」によって装置内のソフトウェアの変更を不可能とする等の対策を含めたメディアのパッケージ化によってセキュリティを高めることで紙と同等の「保存性」、「一覧性」、「証拠性」を実現することが必要となる。

電子化された原本は、原本性保証電子保存装置内にあってこそ原本であり、一旦、保存装置からとりだされてホスト装置で表示しているデータは、厳密には原本とは言えない。原本を正しく表示しているであろうということで見ているのみである。表示されているデータが原本と同じであることを証明するためには、種々のホスト装置で表示しても、同じデータが表示されることを示さなければならない。例えば会計帳簿ならば、税務署が所有するホスト装置で表示しても同じ結果となければならない。

このことを可能にするためには、入出力インタフェース及び入出力のためのプロトコルを標準化しておく必要がある。そのため、原本性保証のためにパッケージ化されたメディアへの入出力は、ネットワークやRS-232C等の標準的な入出力ポートのみにする。また、開発したプロトコルは公開することを前提とする。

パッケージ化と認証機能による原本性保証の概念
図1 パッケージ化と認証機能による原本性保証の概念

実現の基本形
図2 実現の基本形

パッケージ化による原本性保証の仕組み
図3 パッケージ化による原本性保証の仕組み

4. 論理的パッケージ化の実現

(1) 固定型媒体

ハードディスク装置等のように媒体駆動装置と記録媒体を分離できない記録媒体を用いた原本性保証装置における論理的パッケージ化は、以下に従って実現する。

(a) 外部装置との通信

外部装置(ホスト装置や他の保存装置)との通信プロトコルとコマンドを規定し、それ以外の外部のアクセスに対して動作させない。これは保存装置内のCPUにて外部からのアクセスをすべて管理することを意味し、保存装置の独立性を保証するためにもパッケージ化においては最も重要な点である。

通信経路の安全性の状態はネットワーク等の管理状態に大きく依存するため、通信に当たってはまず、正当な機器間の通信であることの保証を装置間の認証によって実現する。送受信する通信データの改ざんの防止と検知が必要な場合には、データの暗号化とメッセージ認証子によって対応できる機能を付加する。

保存装置の実現に当たっては、記録媒体やハードウェアは自由に選択できることが望ましい。このため、通信プロトコルのみを規定する。このような実現方針は、媒体やハードウェアの進歩に従って、速度・容量・安全性等の面で高機能な保存装置が新たに出現した場合でも、高水準インタフェース[3]であるため、新たなソフトウェアの導入なしに利用しやすくなることを意 味する。

(b) 利用者の特定

保存装置に対して操作を行う場合に、利用者を認識することは保存情報を管理する上で重要である。利用者の情報は、保存情報に対する署名の生成、ログの記録等に利用する。利用者は、使用に先立って行う利用者の認証によって特定する。具体的には、ICカードを利用者ごとに発行し、ICカード機能を用いた利用者認証を行うことで実現する。保存装置内ではこれに対応したユーザーの管理を行う。

(c) アクセスの制限

正当な利用者であっても、保存義務の生じた情報に対して不正な改ざんを行う可能性は否定できない。そのため、一旦、保存義務の生じたデータに関しては、不正な操作ができないようにするか、行った変更がすべて残るように管理する。また適宜アクセスのログを記録することで不正操作の抑止力となるようにする。

(d)時間的順序の決定

時間的な前後関係や履歴が重要となるので、不正な時刻の変更を防ぐ手だてを施す。すべてのファイルをアクセス順に管理・配置する、常に正しい時刻に保つ、時刻変更の履歴を残し、相対的な時間的前後関係が変わらないようにする等によって実現する。

(e) データの安全性確保

記録媒体中のデータが物理的に劣化したり部分的に破壊される可能性があるので、以下の対策を施す。データの物理的劣化に対しては、原本性を保ったまま他の保存装置への移動を可能とすることで実現する。部分的な破壊に対しては、データを二重に保持する、バックアップを作成できるようにする等の方法によって実現する。

(2) 取り替え型媒体

光ディスク等のように媒体駆動装置と記録媒体を分離することが可能な取り替え型媒体の場合には、固定型媒体で実現する場合の方針に加えて、媒体上のデータが他のシステムで改変されることに対する対策を追加する必要がある。

(a) 媒体のパッケージ化

特殊な媒体を用い、特殊なファイルフォーマットを用いることによって、安全性を高めることはできるが、運用や開発コストを考えると、実際的ではないと考えられる。

したがって、特殊な取り替え型媒体を用いるのではなく、一般的な光磁気ディスクやCD−R等の媒体を用い、既存のファイ ルシステムを用いることが望まれる。このような前提に立つと、当然ながら媒体は他の装置でのアクセスも可能となる。

各媒体に固有の識別子を与えて個別管理することと、各媒体中のファイルの内容を暗号化することによって、他の装置での利用を不可能にすることで特定の保存装置の下での管理を実現する。

したがって保存装置では、媒体を識別するためのコードの管理、必要に応じて各媒体に用いた暗号化の鍵の管理が必要となる。

原本を示すファイルの属性とその遷移
図4 原本を示すファイルの属性とその遷移

(b) ファイルの改ざん検知

他の装置でメディアへの書き込み等が行われた場合には、これを検知する必要がある。このため、各ファイルのデータにはメッセージ認証子を付加することでファイルの改ざん検知を実現する。

(3) ファイル属性の管理

保存装置では、情報内容に対するセキュリティを確保するだけでなく、原本であることを保証する機構を実現する。具体的には、ファイルシステムにおいて、一般の属性(その他)とは別に、仮原本、原本、謄本の属性を新たに設け、図4に示す方向性を有する遷移関係を持たせることで、ファイルの原本性を実現する。

(4) 一覧性の確保

一覧性を確保するためには、共通に利用できるフォーマットを規定する必要がある。本開発では、会計帳票類と医療画像に関して、以下のように実現する。

(a) 会計帳票類

帳票類に関して、その利用形態は共通であると考えられるので、共通な書式を設け、それを用いることで一覧性の確保を実現する。

(b) 医療画像

(財)医療情報システム開発センターが規定している共通規格に対応した光磁気ディスクを利用することにより、この分野で先行している医療データへの対応を実現する。

5. 開発システム

開発システムは、図5に示すように、元となるデータを発生するホスト装置と、それに接続してデータの原本性を保証する保存装置によって構成する。

保存装置は、ホスト装置から送られてくる電子保存に関する様々な要求コマンドを受け取り、その要求された処理を内部で実行し、処理に応じた応答をホスト装置に送り返す機能を提供する。内部にパッケージ化された記録メディアが存在し、その中で原本性を保証しつつデータを管理する。ホスト装置からの要求が許可されているものかどうかは内部的に判断し、許可されていない要求に対しては処理を実行せず、許可されていないことを示すエラーコードを応答として送り返す。

保存装置はパッケージ化されているため、すべての操作はホスト装置から行わなければならない。従って、ホスト装置は操作者の意思を受け取り、保存システムへ要求コマンドとして伝えなければならない。また保存システムの状況を操作者に伝え、適切な指示を仰ぐ仲立ちを行うのも、ホスト装置の重要な機能となる。

6. 開発ソフトウェア

本開発においては、ホスト装置及び保存装置内で以下のプログラムを稼動させることで、原本性を保証するシステムを構成する。

システム概要
図5 システム概要

(1) ホスト装置におけるプログラム

(a) ホスト装置プログラム

保存装置との通信を行うための機能を提供する。保存装置管理プログラム及び原本入出力処理プログラムからの要求をコマンドに変換し、規定されたプロトコルにしたがって、保存装置に要求を送り、その結果を受け取る。保存装置からの結果は、保存装置管理プログラム及び原本入出力処理プログラムに返す。

(b) 保存装置管理プログラム

保存装置を管理するための機能を提供する。ユーザ・時間ログの管理等の機能が含まれる。

(c) 原本入出力処理プログラム

原本を保証した入出力を提供する。保存装置とのファイルの送受信、帳票類の入出力等の機能を持つ。

(2) 保存装置におけるプログラム

(a) 保存装置プログラム

ホスト装置からの要求を受け、コマンドに従った入出力を行うと共に、保存されたデータの原本性、ユーザ、媒体等の管理機能を提供する。

7. 評価実験

(1) 評価実験の目的

評価実験では、開発した保存装置及びホスト装置から構成される原本性保証電子保存システムを用いて、会計伝票や会計帳簿を含む書類を電子的に保存する実験を行い、紙と同等の「保存性」、「一覧性」、「証拠性」を実現できることを確認する。また、その中で操作性、運用性の観点から評価し、開発した機能の有効性を検証する。

(2) 方法

実際の事務処理等におけるシステム運用を想定し、@領収書のように一度発行した後に変更を行うことがない書類、A稟議書のように複数の関係者の承認を得る書類(順次押印する)、B会計帳簿のように追記を繰り返す書類を含む対象データ(以下、「サンプルデータ」という)を用いて以下に示す実験を行った。

(a) 操作性の評価

ファイルの加除訂正、整理及び保管等の取扱いに関する操作性について、原本性保証機能及びファイルセキュリティ機能等が 制限を加えていないか、または紙における場合と比較して低下していないか等の観点から評価した。

(b) 運用性の評価

通常の運用を想定した作業に加え、データの改ざんに対する調査や保存媒体の損傷からの回復等、異常事態を想定した実験を行い、実際の運用場面における運用性について、「証拠性」、「一覧性」及び「保存性」の観点から評価を行った。

(3) 結果及び考察

評価実験により得られた主な結果及び知見を以下に示す。

(a) 操作性に関して

(b) 運用性に関して

8. 結論

紙と同等の「保存性」、「一覧性」、「証拠性」を実現する原本性保証電子保存システムを開発し、会計伝票や会計帳簿等の書類を電子的に保存する実験を行うことで、その有効性を明らかにした。

今後、本システムを実用化するためには、保存装置のパッケージ化を行い、耐タンパー性を有するシステムの開発を行うことが必要である。本システムは、保存媒体等の種類に依存せずに実現できるため、記憶容量や寸法等の点で様々なタイプの保存装置への展開が期待される。また、一覧性を担保するためには保存データの形式等、利用分野毎に検討すべき課題も残されている。さらに、認証機能等を強化することにより、暗号鍵の保管や電子的な印鑑機能への応用等を進めることも必要と考えられる。

ここで報告した内容にとどまらず、このような社会的ニーズにもとづく技術開発は、従来のシーズにもとづく技術開発では見られなかった新しい発想の商品を生み出す可能性がある[4]。したがって、多くのメ−カの協力により、社会から技術へという枠組みの下で各種の技術開発を進めていく流れを作っていきたいと考えている。

9. 参加企業及び機関

本開発プロジェクトにおいては、オリンパス光学工業(株)、(株)リコー、リコーシステム開発(株)、日立コンピュータ機器(株)がシステム及びソフトウェアの開発を担当し、東京工業大学が評価実験を担当した。さらに、(財)ニューメディア開発協会が全体のとりまとめを担当した。富士通(株)は実施計画及び発注仕様策定に参加した。

先駆的に問題の所在と基本コンセプトを提示した東京工業大学大山永昭教授、「原本性保証」という用語を最初に考案した通商産業省梅沢茂之氏に深謝する。

10.参考文献

[1]
山上淳一:「帳簿書類の保存等の在り方に関する研究会」報告書について、光ディスク懇談会100回記念特別講演会予稿集、1997年7月

[2]
国分明男:原本性保証電子保存システムの開発、光ディスク懇談会100回記念特別講演会予稿集、1997年7月

[3]
国分明男:記憶システム、電子情報通信学会誌、 Vol.73、No.4、 pp.339-343、 (1990)

[4]
内海研一:光ディスクは安全な記録媒体、光ディスク懇談会100回記念特別講演会予稿集、1997年7月


禁無断転載
(C) NMDA. All rights reserved.