技術開発研究報告

 当協会では、高度情報化社会の円滑な実現を図るため、時代の要請に応えうる先進的な情報システムの開発を行っています。平成11年度に実施した事業の中から、「セキュア情報交換システムの開発」と「電子文書の原本性保証ガイドライン」を取り上げ、その概要を報告します。


  セキュア情報交換システムの開発  開発本部システム開発部長陸田耕吾

1.はじめに

 企業間等では、インターネット等の広域ネットワークを介した各種処理の電子化が、広く行われつつあります。行政側においても、「電子的な政府」の実現を目指した取り組みの中で、申請・届出等の各種手続きを電子化する方向で作業が進められています。しかしながら、現状のネットワークシステムの脆弱性では、社会基盤となった場合に何か問題があれば大きな社会問題に発展しかねない、という懸念もあります。例えば、自治体などで扱っている情報システムが万一ハッカーにアタックされた場合には、住民のプライバシー情報の漏洩や、行政サービスの麻痺による住民生活の混乱も考えられます。このような背景に対し、インターネット等の広域ネットワークを介して安全に情報の交換を行える新たな技術が求められております。

 当協会では、情報処理振興事業協会が実施する「情報システム共通基盤整備のための連携推進事業」の一環として「セキュア情報交換システムの開発」を行い、オフラインの場合と同等に広域ネットワークを介して、安全に情報を交換できるシステムを開発してきました。その開発内容の概要を紹介致します。

2.オンライン化により新たに発生する脅威

 従来、オフラインで処理していた情報の交換を、オンライン化することで新たに発生する脅威としては、まず広域ネットワークから内部システムへの不正なアクセスによる「内部データの不正入手、業務システム内部の不正な変更等の破壊行為」が挙げられます。これらの脅威に対しては、技術的な対策としてファイアウォール技術があり、ファイアウォールの設定が正しくなされていれば、通常は上記の脅威に対抗し得るものです。

 次に、「コンピュータウィルス」に感染したデータを内部の業務システムへ保存される脅威が挙げられます。コンピュータウィルスの脅威に関しては、ウィルスチェック/ワクチンソフトが技術的な対策としてあり、最近では、新種のウィルスに対しても非常に迅速な対応がなされるようになってきています。なお、コンピュータウィルスに感染したデータが業務システムに混入する脅威は、オフラインにおいてもFD等の電子的な媒体で持ち込まれた場合にも同様の危険性があるため、一概にオンライン化したことで新たに発生する脅威とは言えません。しかし、情報交換においてFD等の物理的な物(有体物)が存在するため、FDの管理方法によってはコンピュータウィルス等による障害が発生した後に、原因を究明するときの証拠にはなり得るので、この点は可能性としてオンライン化する時よりも安全であると考えられます。

 その他の一般的な脅威としては、「なりすまし」があります。この脅威に対しては、暗号化通信やICカードを用いた本人確認手段などの対策が挙げられます。このような手段を用いることで、非対面のネットワーク環境においても、情報交換を行う相手確認を行うことは可能です。しかし、オフラインの場合と比較すると、交換する情報を受け入れるかどうかを判断できるかどうかの違いがあります。つまり、オンラインの場合には、情報を内部のシステムへ保存するのは一般には送信側のタイミング・意志ですが、オフラインの場合には、情報を受け付ける側のタイミング・意志で処理することができます。そのため、相手確認が行われた後でも、送られてきた情報を受け付けるかどうか、保留することも、拒否することも可能です。

 以上により、現状の技術を用いてもオンライン化することで次の脅威が残存していることがわかります。これらの脅威は、ネットワークセキュリティ等で一般に考えられている広域ネットワークから内部のシステム・資産を守るという観点から考察したものです。

 ・ファイアウォール等の設定不備による脅威
 ・FD等の有体物がないことで、障害発生後の原因究明が困難になる脅威
 ・受け手側のタイミング・意志で情報の受け取り処理ができないことによる脅威

 上記以外に、オンライン化により新たに発生する問題点として、情報交換における責任範囲の問題が存在します。例えばオフラインの情報交換システムでは、受け取り側が差し出された情報を受け取り、内容を確認して受理したという書類を渡した瞬間を責任分界点とし、そのタイミング以降は受け取り側の組織の責任範囲、それ以前には受け取り側の組織の責任範囲外というように、責任範囲が明確になっています。一方、通常のオンラインの情報交換システムでは、このような責任範囲の明確な分界ができません。そのため、例えばオンラインで情報を受け取った場合に、その後、その情報が紛失、あるいは改ざんされていたと第三者に指摘された時に、それが受け取り側の組織の過失か、それとも送り手側の過失かを区別する手段がありません。つまり、受け取った情報に何か問題があった場合には、自分自身に過失があるかないか主張できないことになります。特に、自治体等の公的な組織では、社会的に重要な情報を扱うことになるために、この問題はオンライン化によって新たに発生する脅威と位置づけられます。

 ・情報交換における責任分界点が不明瞭になる脅威

3.セキュア情報交換システムの考え方

 図1は、自治体等で現在行われている紙ベースの情報交換(書類提出等)を示したものです。一連の処理は組織の責任者によって定められた管理規定等に沿って行われるものとします。まず、申請者は書類に必要事項を記入し、自治体等の受付で書類を提出します。それに対し、受付側では書類の形式審査を行い、記入漏れ等がなければ業務担当者に書類を渡し、その後、業務担当者が書類内容から受理するかしないかを判断して、受け付ける場合には書類内容から必要事項を業務システムに登録します。一連の処理の中で、受付担当者は記入漏れや正当な理由で受付を拒否する必要があれば、申請書類の受付を拒否できます。同様のことを業務担当者も可能です。また、関係ない書類は受け付けませんし、書類のやり取りは必ず担当者の判断を通して行われるため、自治体内の書類が勝手に外部に持ち出されることもありません。書類の受渡しは、組織が定める管理規定等に従って、受取り側の担当者の判断で行われます。その結果、書類の受渡しにおける責任範囲の分界点は明確です。例えば、受付担当者が受け取った時点、あるいは業務担当者が受理した時点と明確に定めることが可能です。

                図1紙ベースの情報交換

 

 紙ベースで行っていた情報交換をFD等のオフラインメディアを利用して行う場合も、紙の書類の場合と同様に受付担当者や業務担当者が内容を確認して書類を受け付けるかどうかを判断するため、書類の受け渡しにおける責任範囲の分界点は同様に明確です。違いとしては、書類が電子的なファイル形式で渡されるために、受付担当者や業務担当者が操作ミス等で誤って書類内容を変更してしまったり、あるいはファイルがコンピュータウィルスに感染しているという脅威があります。したがって、例えばオフラインメディアをライトプロテクトにしてから受け取るとか、内部の業務システムにオフラインメディア内のファイルを保存する場合には事前にコンピュータウィルスの有無をチェックとか、の対策を運用管理規定に盛込むべきです。

 次に、広域ネットワークを利用してオンラインで情報交換を行う場合について検討します。図2は、ファイアウォールを用いた場合の広域ネットワークを介した情報交換システムの概念図です。図に示すように、ファイアウォールを広域ネットワークからの入口に設置することで、外部からの不正アクセス等は通常防ぐことができます。しかし、ファイアウォールは設定条件に合致した通信方法に対しては、受けたものをそのまま内部に通過させてしまいます。このファイアウォールを用いた場合のような情報交換を、ストア・フォワードタイプの情報交換と呼びますが、この場合、申請された書類(データ)は、直接、自治体等の業務システムに保存されることになります。書類内容がなんであれ、とりあえず一旦受け取ってしまいます。受け取ることを拒絶することができません。したがって、前述の管理規定に沿った運用ができなくなり、受け取った書類の内容に不備があったり、通信などの途中で改ざんされたとしても、それが自治体等の組織内部の責任なのか否かの特定ができなくなる恐れがあります。すなわち、書類の受け渡しにおいて責任範囲が不明確であると言えます。

           図2従来の広域ネットワークを介した情報交換と問題点

 このような問題に対し、広域ネットワークを利用した情報交換においても従来のオフラインによる情報交換と同等に、責任範囲の分界点を明確にすることを目的としたシステムが「セキュア情報交換システム」です。セキュア情報交換の考え方は、オフライン情報交換のアナロジーを、広域ネットワークを用いた情報交換へ導入することからなります。図3に、セキュア情報交換システムの概念図を示します。セキュア情報交換システムでは「セキュア情報交換装置」を基本コンポーネントとします。セキュア情報交換装置によって接続された双方のネットワークは、セキュア情報交換装置内部の論理窓口と呼ぶ記憶媒体を介してのみデータのやり取りが可能な仕組みになっています。つまり、一方のネットワーク側からセキュア情報交換装置に対して交換するデータの保存処理を行うと、セキュア情報交換装置内部の論理窓口にそのデータが保存され、論理窓口に保存されたデータは、他方のネットワーク側から取得処理を行わない限り、他方のネットワーク側にデータが入り込むことはありません。すなわち、セキュア情報交換装置は、従来のファイアウォールに代表されるストア・フォワード型の情報交換メカニズムとは異なり、片方のネットワークから受取った情報を装置内部で保存し、他方のネットワークからの「情報取得要求」がない限り、他方へ情報を流すことはありません。このような、情報交換を「ストア・リトリーブ型の情報交換」と呼びます。セキュア情報交換システムでは、このストア・リトリーブ型の情報交換方法を採用することで、前述したオフラインの情報交換の時と同様、自治体等の組織が定める管理規定に沿った方法で情報交換が可能となり、責任範囲の分界点を明確にすることが可能になります。

                図3セキュア情報交換システム

 さらに、交換データが論理窓口に保持されている間、その改ざんや、不正なすり替え/消去等を防ぐために、交換データの原本性を確保する機能を提供しています。この機能により、例えセキュア情報交換システムの管理者でも形跡なく不正を行うことができなくなっております。原本性を確保する機能により、情報交換時に論理窓口に保存されていたデータが壊れている、あるいは改ざんされているなどの問題が発生した場合でも、それはセキュア情報交換装置にデータが保存される前に破壊、あるいは改ざんされていたことになり、自治体等の組織側には非がないことを主張できます。

    図4ファイアウォールの設定ミス等によるセキュリティーホールの残存とセキュア情報交換システム

 以上の機能により、広域ネットワークを用いた情報交換においてもオフラインの情報交換と同様の責任範囲の分界点を明確にすることが可能となります。また、万一、ファイアウォールの設定にミスがあり、セキュリティホールが残存してしまうような場合でも、図4に示すようにセキュア情報交換装置が内部と外部のネットワークを完全に分離しているので、内部の業務システム自身が不正アクセスにより影響を受ける心配はありません。送られてきたデータにコンピュータウィルスが混入されている場合でも、例えば一定期間元のデータを論理窓口に残すか、あるいはどんなデータが送られてきたか関連情報を残すことで、FDの場合と同様、障害発生後にその原因を究明できる可能性があります。これらの機能により、セキュア情報交換システムは前章で述べた脅威に対して技術的な解を与えることが可能となります。

4.セキュア情報交換システムの機能

 セキュア情報交換システムのコアとなる機能は以下の2つです。

(1)ストア・リトリーブ型の情報交換機能本機能は、セキュア情報交換装置によって接続された双方のネットワーク間で、セキュア情報交換装置内部の「論理窓口と呼ぶ記憶媒体」を介してデータのやり取りを行う機能です。セキュア情報交換装置では、論理窓口を介してのみ双方のネットワーク間でデータのやり取りが可能です。本機能は、双方のネットワークそれぞれに対して、送受信の処理を行う独立の処理モジュールで構成されます(図3)。このように、処理部を双方のネットワークで分けることで、ネットワークの独立性を高めることを可能にしています。

(2)原本性保証機能(6ページ参照)本機能は、セキュア情報交換装置に保存されているデータの「真正性」を確保することを目的として備えられている機能です。本機能では、セキュア情報交換装置への全てのアクセスを原本性保証のためにアクセス制御することを基本としています。この機能により、例えシステム管理者であろうと、論理窓口に保存されているデータを不正に改ざん、差し替え、消去ができません。少なくとも、形跡を残さずにログファイルを改ざんすることもできない仕組みになっています。また、セキュア情報交換装置へのアクセスに、必要に応じて認証処理を施す機能も提供しています。

5.導入の効果

 セキュア情報交換システムを導入することで、現状のオフライン処理と同等の安全性で情報交換を行えることを紹介しましたが、安全性に関する効果としては下記の点があげられます。

(1)情報交換における責任分界点の明瞭化オフラインの場合と同様に情報交換における責任の分界点が明確になります。これにより、例えば情報交換時のネットワーク障害などによって万一重要なデータが改ざん、あるいは紛失してしまった場合に、その責任が受け取り側にあるのかどうかの判断を下すことができます。

(2)既存技術の補間ファイアウォールの設定ミス等、既存技術に対する人為的ミスなどで、万一残存してしまった脅威に対しても、それを補うことができます。

(3)原本データの交換が可能原本性保証機能を用いることで、情報交換の送り手側が原本性保証電子保存装置を用いている場合には、電子データを原本として交換することが可能になります。

6.評価実験

 本事業では前述のシステムを開発するとともに、自治体の協力を得て実際の自治体システムにセキュア情報交換システムを接続して評価実験を行いました。評価実験は、民間・自治体間のセキュア情報交換評価実験と、自治体間のセキュア情報交換評価実験の2つであり、各々次の内容で評価実験を行い当初の目的を達成しております。

(1)民間・自治体間のセキュア情報交換評価実験セキュア情報交換システムを既存の公文書公開システムに組み入れ、公文書公開システムにおける影響度、公文書公開業務フローにおける影響度、および自治体業務における影響度を明らかにする。

(2)自治体間のセキュア情報交換評価実験セキュア情報交換システムを既存の自治体システムに組み入れ、当該自治体システムを利用して各種運用実績を示す履歴を蓄積していくことによって、データ受渡しの正当性、安全性、運用性といった観点から検証する。

 上記の実験を通じ、セキュア情報交換システムを介した情報交換を自治体等のシステム上で容易に行えることを検証しました。また、セキュア情報交換システムの導入環境、導入の容易性、処理能力、操作性、安全性などについても確認しております。

7.おわりに

 セキュア情報交換システムは、今後増大が予想される広域ネットワークを利用したオンライン接続に際し、ファイアウォール等の従来技術では対策を打てなかった脅威に対しても対抗できるシステムです。このセキュア情報交換システムの開発が、申請・届出等手続きのオンライン化、自治体の基幹業務と住民基本台帳ネットワークとの接続等、ネットワークを利用したオンライン接続拡大の一助になれば幸いです。

 NMDA-Topページへ 研究成果Indexへ 研究成果目次へ