図1 改ざん対策のイメージ図
2 原本性保証に係る評価・認証制度に関する調査研究
開発本部 部長 開発管理・行政情報システム担当 鈴木 実
株式会社NTTデータ経営研究所 コンサルタント 高野 敦伸
1.はじめに
わが国は、インターネット加入者の増加や携帯電話を中心としたモバイル機器の普及に見られるようにデジタルネットワーク社会への道を歩んでおります。文書等の形態においてもアナログからデジタルへと進化していく過渡期の現在では、従来の紙媒体等による情報とデジタル化された情報とが混在している状態にあると言えます。ただし、デジタル化・電子化された情報のもつ特性として、改ざんが容易でありかつ痕跡が残りにくい、記録媒体等の劣化による情報の消失等が起きやすいこと、が挙げられ電子情報の安全な利用に不安を抱く方も少なくありません。これらの課題は「原本性保証」と言われ、紙文書と同等の安全性を保ちながら、電子文書を活用していくための対策を講じることが必要であると考えられております。
本レポートは、経済産業省による平成12年度情報システム共通基盤整備のための連携推進事業の一環として、当協会において設置した「原本性保証評価・認定制度に係る研究会」の検討結果をまとめた報告書を簡約したものであります。本研究会では、行政文書を検討の対象とし、原本性保証における評価・認定機関が具備するべき要件を抽出し、行政機関等のユーザー側が容易かつ安心して製品やシステムを導入できるように、既に取組みが進みつつあるISO/IEC15408等への評価スキームにあてはめるか、もしくは新たな制度の創設が必要となるのかという点について検討することを出発点とし、製品やシステムの確実性・信頼性を評価し、そのための製品機能を明確にするなど、広い視点で製品の普及を目的とした検討を行いました。
なお、本研究会の報告書及びガイドライン等は、当協会のホームページに掲載してありますので、併せてご覧下さい。
(http://www.nmda.or.jp/nmda/soc/originalite.html)
2.原本性保証に関する行政機関の状況
本研究会では行政文書を対象とし、ユーザである行政機関の文書管理や原本性保証への対応の現状を整理いたしました。
まず、電子文書管理の状況を見ますと、総務省の「第34回各省庁統一文書管理改善週間実施状況調査」によれば、省庁における文書等の電子媒体による保管割合は、平成7年の48%から平成12年には77%に増えており、このことから原本性保証への対応を求められる電子文書が急速に増加していると予想されます。中央省庁では、「行政文書の管理方策に関するガイドライン」等に則って文書管理の規程を作成し、運用することになっており、一部の地方自治体でも、電子文書の管理方策に関する規程等が定められております。北海道「北海道電子情報管理規程」・「電子メール規程」、大阪府「大阪府庁内電子メールシステム管理運用要領」、神奈川県「神奈川県行政文書管理規程」、などが挙げられます。このように文書の電子化ということが推進されると同時に、中央・地方ともに、文書管理の規程が作成され運用されているようです。
このように電子文書による管理が進展した時に問題となるのは次のようなケースです。行政機関が政策決定などを行った決裁文書を電子文書としてのみ保存していたとします。この政策決定に対し情報公開請求を受けた、もしくは住民訴訟を受けた場合、電子文書が証拠として提出されますが、確実に改ざんや偽造が行われていないことを主張し、しかも迅速に提出することができるでしょうか?このような場合、やはり原本性保証の対策を電子文書に対して適切に施しておく必要があります。電子文書を扱った規程類には原本性保証についての対策項目を掲載することや、職員にこの重要性を啓蒙することは必要不可欠でしょう。
このような行政機関の電子文書の管理状況に対し、原本性保証に関する要件を定義しているいくつかの報告書・通達類の整理を行いました。
「インターネットによる行政手続実現のために」(共通課題研究会最終報告書、総務庁・平成10年9月)では電子文書の保存・管理にあたって、完全性、見読性、機密性の確保が必要と明記されております。この他に、高度情報通信社会推進本部の制度見直し作業部会が平成8年6月に策定した「高度情報通信社会推進本部制度見直し作業部会報告書」、診療録等の電子保存に関して「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン等について」、平成10年7月に施行され電子帳簿保存法の通称で呼ばれている「電子計算機を使用して作成する国税関係帳簿書類の保存方法等の特例に関する法律」、などが挙げられます。
例えば「インターネットによる行政手続実現のために」では完全性・機密性・見読性、前述の診療録のガイドラインでは機密性・見読性・完全性という括り方で、各要件の技術的な対策を提示しているなど、全ての報告書・通達類において原本性保証の要件というものが完全には一致しておりません。
電子文書を取り扱っていく上で文書管理規程などでルールを明確にしておくことや、原本性保証対策の必要性は認識され、行政機関・民間いずれを問わず原本性保証の重要性が非常に強く訴えられていることは分かりますが、具体的な技術や運用上の対策に話が及ぶと統一の見解となっていない状況にあります。
3.原本性保証製品
次に、原本性保証製品の普及の検討のため、現状の製品の動向を整理しました。原本性保証製品は、製品機能に「原本性保証」が明記されているシステムや製品の企業に対し調査を行いました(調査対象製品については表1参照)。製品企業各社は前述の報告書・通達類を参考に製品機能の開発を行っているが、実装している技術的な仕組み・方法は多様な解釈で行われていることが分かりました。
現在国内で開発・販売されている製品を大別し、システム構成の特徴から見ると、製品単独で完全性・機密性・見読性を確保できる・ハードウエア自体で保存文書がガードされるタイプの製品や、クライアント/サーバのネットワーク間でセキュア通信を実現しネットワーク上に存在する複数のサーバ間での文書情報の管理を可能にするなどの特徴を持つものがあります。また第三者による本人認証や時刻証明を行うものとそうでないものがあります。
|
原本性保証関連製品名
|
開発元・販売企業
|
| TrustyCabiNet V1 | リコー中央研究所 |
| 原本性保証電子保存装置 | オリンパス光学工業 |
| Digital Imaging System | コニカ |
| 社医用画像ファイリングシステム | 日立コンピュータ機器 |
| X線診断システム | 島津製作所 |
| efilingMeister | 東芝 |
| IMEプラットフォーム | タンブルウィードコミュニケーションズ |
| com認証・決算プラットフォーム | NTTコミュニケーションズ |
| 電子文書証明サービスSecureSeal | NTTデータ |
| セキュアド・ドキュメンテーションシステム | NTTコムウェア |
| DocuTouch | 三井物産 |
表1 原本性保証に関連する製品名と企業
4.評価・認証制度について
行政機関などのユーザーは、どのような機能を搭載した製品を導入すれば原本性が保証されるかという確証がなく、また判断材料となるものもないため、何らかの指標があるとよいと考えており、製品を開発・販売する企業側は、原本性を保証するためにどこまでの機能を盛り込めばよいのかという明確な指標がないため、同じく何らかの基準があるとよいと考えている状況にあるようです。そのため「原本性を保証する製品とはどのようなものか」という基準があれば、ベンダーは製品開発がしやすくなり、ユーザーも製品の導入が容易になり、原本性保証製品の普及につながっていくと予想されます。
そのために、原本性保証製品として販売することに「お墨付き」を与え、ユーザが安心してシステムを導入できるようにする基準を示すと共に、原本性保証製品の評価・認証制度の必要があるはずです。そこで研究会では、電子文書の原本性は技術と運用を組み合わせることによって保証されるようにするものであることから、製品の技術に関する評価認証制度として、ISO/IEC15408に準拠した情報セキュリティ評価認証制度、運用に関する評価認証制度として、情報セキュリティマネジメントシステム適合性評価制度(ISO/IEC17799に準拠)を参考とし検討を行いました。情報セキュリティ評価認証制度は2001年4月より運用が開始されております。この制度では、同月に発足した独立行政法人製品技術評価機構によって、ベンダーの情報機器/製品毎に作成するセキュリティ設計仕様書Security Target(ST)を評価し、認証するものです。なおSTは、製品毎に提供されるProtection Profileに基づき作成します。ユーザは、この認証を受けた製品を採用することにより安心して利用できるようになります。
ここでの結論としては、原本性保証の分野の製品において、これら制度に則った製品評価を行っていくことは必要ですが、その前に、原本性保証製品に求められる機能要件を整理し、明確にしていくことが必要な段階にあるということです。しかしながら、ISO15408とISO17799の双方のスキームを組み合わせ、製品の技術要件とユーザーの環境や運用的な要件の両方を含めた評価認証制度に対応していくことは、原本性保証の評価認証制度のあり方を考える上で、1つの方法であると言えます。
5.原本性保証における必須の対策要件
これらの現状を踏まえ、まずは原本性保証製品に求められる機能要件を明確にするために、必ず製品が搭載しなければならないであろう必須の対策要件を明確にするアプローチを行いました。
電子文書が原本であることを保証することは、原本として一度作成・保存された文書が改ざんされていないことが証明されなくてはならず、原本として確定した文書が保存後に一度でも改ざんされた形跡がある場合は「原本」とすることができません。原本性を阻害する脅威としては、改ざんだけでなく、書換え、劣化、盗難、漏えい等が挙げられ、中でも改ざんは最も厳重に対策を講じなくてはならない脅威です。ここでは、改ざん対策をセキュリティ分野で利用される対策方針の分類の考え方に基づき「抑止」「予防」「検出」「回復」にあてはめ、この4つの概念を大きく2つに分け、抑止・予防・回復を「改ざん防止」(原本性を阻害する要因をできるだけ排除すること)、検出を「改ざんの検出」(原本性を阻害されたことを後に判別できるようにしておくこと)として整理しました(図1参照)。
電子文書の改ざんを100%防止する技術の実現は難しいことですが、改ざんが行われたことを検知する機能(要件)を持つことで、原本としての電子文書の証拠能力が増すことができるため、大きく2つの「改ざん防止」と「改ざん検出」の内、「改ざんの検出」がより重要であり、技術的な対策が講じられるべきである、としました。さらに司法の場で裁判官の心証形成を高めるためには、不正な第三者による脅威(犯罪)はもちろんのこと、電子文書の作成者及び管理者を含めた当事者の改ざん防止対策を行う必要があります。なぜなら、文書の改ざんを行うことでより大きな利益を得るのは、当該組織等と関係のない第三者よりも文書の作成や保存の当事者の可能性が高いからです。この点は、原本を保存する当事者でさえも関与できない改ざん保護機能(技術)を組み込む、また、当事者以外の信頼のおける第三者により電子文書が改ざんされていないことを証明することにより、原本性保証の機能を果たすことになると考えられます。
◆改ざん検出◆
改ざん検出のためには、「改ざん検知」と「時点の特定」という2つの要素があり、これにより改ざんされていないことを証明する必要があります。
電子文書に証拠能力があることを証明する場合、「改ざんされたのか、されていないのか」が重要な部分となると考えられます。改ざんされていないことが証明できるのであれば当該電子文書の証拠能力を持っていることの説明がより強く行えます。これは、改ざんが検知されなかったという事実があるならば、逆説的に電子文書が改ざんされずに原本のまま保存されていたことを証明できるものと捉えられるからです。「改ざん検知」の機能は、原本性保証の対策要件の中で最も重要となる機能でありかつ技術の1つであり、原本性保証システムと呼ぶからには必ず搭載されていなければならない機能であります。具体的に改ざん検知機能とは、電子文書の情報が1bitでも変化したことを検知する機能のことであり、電子文書のあらゆる変化について、その操作が行われたのはいつであるか特定できるようにする機能や、電子文書のどの原本が改ざんされたのかを一意に特定する機能等も同時に求められます。
また、改ざんを検出するには、履歴(保存・変更・参照等を含む)情報が必要です。それは、改ざんを行った者の追跡を行ったり、どの時点で文書が改ざんされたのか特定できるようにするためです。その履歴情報の内容の重要な一つの要素として「時点の特定」があり、電子文書(ファイル)が変更された時点(時刻)をログ等に記録しておくことです。時刻情報にシステム内部のタイマーを利用する場合は、時刻情報自体を変更した時にその操作の履歴を記録する機能や、時刻情報へのアクセスを監視し、不正な操作が行われないようにする機能等も同時に求められます。
◆改ざんの防止◆
改ざんという脅威に対して、抑止・予防・回復の対策があり、その対策には、製品用途などに合わせ様々な技術的機能が存在します。現在考えられるこれら全ての機能を原本性保証システムに搭載することは現実的ではなく、このいずれかあるいは複数の技術を組み合わせることによって、改ざんを防止(改ざんをできないように)することが必要です。なお、改ざん防止機能としては、書換え・消失不可機能、アクセス者の識別・認証機能、アクセス制御機能、バックアップ機能、ネットワーク保護機能、複製制御機能などが挙げられます。
図1 改ざん対策のイメージ図
6.原本性保証のガイドライン/チェックリスト/Protection Profile
原本性保証製品に求められる機能要件を整理し明確にすることが必要な段階にあるとの認識から、ユーザーが理解しやすく、製品導入の一助となるような原本性保証システムガイドライン及び原本性保証電子保存機能チェックリスト、原本性保証電子保存システム(ソフトウェア部)Protection Profileを作成しました。
原本性保証システムガイドライン(以下ガイドライン)は、電子文書によって原本を保管しようとする組織や機関、及び、それらにシステムを提供する情報システムベンダーを対象とし、原本性保証システムの必須機能と考えられる技術要件を明確にすることを目的とし、「原本性保証電子保存システム」を中心に当該システムに求められる要件と技術例を挙げております。情報システムが原本性を保証することは最終的には困難ですが、司法の場において、裁判官の心証形成を高めるために、様々な対策を講じておくことが必要であり、ガイドラインに則った原本性保証システムを導入し、運用することにより、電子文書の証拠能力がより強いものになると考えられます。
原本性保証電子保存機能チェックリスト(以下、チェックリスト)は、対象となる製品において、原本性保証の電子保存に必要なセキュリティ機能が備わっているかどうかという点について、ユーザー自身が確認できることを目的として作成しました。ユーザーが本チェックリストを製品の導入・購入前に利用することで、不足している内容がある場合には、別の製品で補完するか、製品への機能を追加するなどの対策を講じるなど対応が可能になるものであります。
原本性保証電子保存システム(ソフトウェア部)Protection Profile (プロテクションプロファイル:以下、PP)は、行政文書の種類や形態について把握した上で、電子文書のセキュリティレベルや保存形態を鑑みた原本性保証電子保存システムの想定される脅威や、脅威に対する対策方針、方針を実行するためのセキュリティ技術要件について、ISO/IEC15408に準拠した記述方式でセキュリティ仕様として策定しております。
7.今後の原本性保証関連製品の普及へ向けて
原本性保証のニーズは、今後行政機関などに限らず紙文書から電子文書へ移行を考えるあらゆる業種・業界の組織において大きくなっていくはずです。例えば、民間企業でも電子商取引等を行う場合、契約書等の電子文書の保存・管理に、原本性の保証が必要になってきます。本研究会において作成された「原本性保証システムガイドライン」、「原本性保証保存機能チェックリスト」及び「原本性保証電子保存システム(ソフトウェア部)Protection Profile」を公開し、原本性保証の機能要件の本研究会での考え方を広め、製品の普及を進めていくことが必要ですし、ガイドライン等を普及していくだけでなく、広く原本性保証対策の重要性を啓蒙していくことも重要です。さらに普及のための具体的な5つの案が提案されました。これらは、「ガイドライン・チェックリストの普及・浸透化」、「ISO/IEC15408情報セキュリティ評価基準への適用」、「原本性保証評価認証制度の設立に向けての検討」、「原本性保証製品普及のためのベンダー協議会の発足」、「国内におけるモデル法の確立」(国内で電子文書の証拠能力を確保する方策を定めるモデル法のようなもの)などです。特に、情報セキュリティ評価認証制度については、「各省庁の調達におけるセキュリティ水準の高い製品等の利用方針」(平成13年3月29日 行政情報化推進各省庁連絡会議了承)にて、各省庁の情報システムの構築にあたり可能な限り、その調達仕様書にはISO/IEC15408の認証を受けた製品であることを入札要件とし、またSTを作成するとともに納品までに認証を取得しておくことが求められております。無論、原本性保証関連製品も例外ではありません。
さらに、今後、原本性保証製品が普及していった際、製品に保存された電子文書を巡って訴訟沙汰になったとすると電子文書の証拠性が問われるようになります。その証拠性を担保するために、ユーザである行政機関の運用体制、または製品を提供するベンダーの技術/機能など、どちらがどこまで責任を負うことができるのか、また責任を負わねばならないのか、ということを今のうちからはっきりさせておく必要があるでしょう。
最後に、本研究会は、東京工業大学像情報工学研究施設の喜多紘一教授を主査として開催し、関連団体や製品開発ベンダー、行政機関担当者の各方面からご協力を頂いており、ここにあらためて感謝申し上げると共に、これらの成果が今後の原本性保証の普及・促進の一助となることを切に望みます。