webで通信を行う場合には、重要な情報を第三者に盗まれる盗難や内容を勝手に書き換えられる改ざん、本人に代わってやり取りを行うなりすましなどの被害にあうリスクが存在します。これらの問題に対処するには、高度なセキュリティが必要です。
セキュリティに役立つ代表的な技術には、暗号化が挙げられます。本記事では、暗号化の概要や仕組み、暗号化を利用した電子署名などについて詳しく解説します。
目次
暗号化とは
暗号化 とは、第三者からデータを解読されないようにデータを加工する処理を指します 。主にwebでデータを送受信する際に使われますが、ハードディスクなどに保存したデータを暗号化する場合などもあります。暗号化されたデータを読み取れるようにするには、元に戻すための作業である復号に使う専用の鍵が必要となります。
暗号化の仕組み
データの暗号化には、暗号鍵を使用します。暗号鍵には、以下の2つの方式があります。
・共通鍵暗号方式 ・公開鍵暗号方式
共通鍵暗号方式は、同一の鍵で暗号化と復号を行います。処理スピードが早い点がメリットです。
しかし、受信者は送信者から鍵を受け取る必要があるので、受け渡しの際に鍵が第三者に盗まれるリスクがあります。また、受信者ごとに違う鍵を準備する手間もかかります。
公開鍵暗号方式では、異なる鍵で暗号化と復号を行います。暗号化に使われる鍵が公開鍵と呼ばれているのに対して、復号するための鍵は秘密鍵と呼ばれます。
受信者は公開鍵を公開し、送信者はそれを使って暗号化したデータを送ります。そして、受信者は秘密鍵でデータを復号します。
公開鍵暗号方式は鍵の受け渡しがないので、安全性が高いメリットがあります。ただし、共通鍵と比べて処理に時間がかかる点に気をつけましょう。
ハッシュ化とは
ハッシュ化 とは、データを復元できないように加工する処理 です。暗号化と混同されやすいですが、暗号化は後からデータを復元ができるように加工する処理なので、この点が大きく異なります。
ハッシュ化に用いられるアルゴリズムにはハッシュ関数が使われており、ランダムな文字列であるハッシュ値が生成されます。ハッシュ値から元のデータを復元することは、非常に困難です。たとえばパスワードをハッシュ化すると、ランダムな文字列に変換されるので、不正にアクセスされてもパスワードが解読されにくくなります。
また、ハッシュ化はデータ改ざんの検出にも利用されています。元のデータと現在のデータをハッシュ値に変換してから比較すれば、改ざんされているかどうかを確認できるのです。
電子契約に使用する電子署名にも、ハッシュ化が使われています。元のデータのハッシュ値を保存しておけば、改ざんされた場合には検知できるのです。
データを暗号化する方法
データを暗号化する方法としては、暗号化のためのソフトやクラウドサービスを利用する方法があります。
暗号化のためのソフトやツールを使う
暗号化のためのソフトには、ファイル単位やフォルダ単位で暗号化できる製品があります。暗号化したい時には、ファイルやフォルダを選んでパスワードを入力します。データ量が少ない場合に向いているソフトです。
ファイルやフォルダを暗号化できるソフトには、アタッシュケースが挙げられます。このソフトでは、暗号化ファイルを画像ファイルの拡張子に変えて偽装できる特徴があります。
また、EDというソフトには3種類の暗号化アルゴリズムが搭載されており、Windowsのファイル暗号化には便利に使えます。
ハードディスク単位の暗号化ソフトは、ハードディスク内の情報をすべて暗号化できます。ソフトを一度インストールして設定すれば自動で暗号化されるため、特に何かする必要はありません。ハードディスク暗号化ソフトには、DataClasysやCheck Point Full Disk Encryption、LAメディアロック3などが挙げられます。
またパソコンに搭載されたシステムを使う方法もあります。パソコンにWindowsのBitLockerがあれば、暗号化に利用できます。ただし、不正アクセスを受けて管理者権限を使用すれば復号できる点に注意しましょう。
クラウドサービスを使用して暗号化する
クラウドサービスの中には、暗号化機能を備えているサービスもあります。利用者は特別な操作をする必要がなく、個人情報や重要情報など必要なデータを選んで簡単に暗号化できるのです。
暗号化する際の注意点
データを暗号化する際には、通信経路やアルゴリズムの選択、セキュリティチェックなどに注意しなければなりません。そこで、暗号化における注意点について詳しく解説します。
通信経路を暗号化する
データのやり取りを行う際には、通信経路を暗号化しておく必要があります。通信経路の暗号化には、SSL証明書が広く使われています。
SSL証明書を利用した暗号化通信では通信内容が暗号化されるため、SSL証明書所有者が持っている秘密鍵がないと解読できないようになっています。このように秘匿性が十分担保される方法であるため、非常に便利です。
アルゴリズムについて確認する
現在使用しているアルゴリズムの安全性について確認しておきましょう。DESでは、わずか56bitの鍵を使用しているため簡単に解読されてしまいます。
また40~256bitの鍵を使っているRC4は、bit数が足りている場合もありますが、2015年に解読法が公開されています。以上の2つは容易に解読されてしまうため、おすすめできません。
便利なアルゴリズムには、AESがおすすめです。128bitや192bit、256bitの鍵を使用しており、その高い安全性からSSL通信にも使用されています。
定期的なセキュリティチェックを実施する
暗号化しておけばそれで安心というわけではありません。暗号化したファイルを復号する際にはパスワードを入力しますが、パスワードを複雑なものに設定したり、パスワードの管理体制に問題はないか確認したりするなどして、定期的にセキュリティチェックを行うことをおすすめします。
電子署名と暗号化について
近年では、電子文書に電子署名を行うケースが増えています。電子署名も暗号化されており、主にRSA暗号が使用されています。そこで、RSA暗号の概要やRSA暗号を使った電子署名の仕組みについて詳しく解説します。
RSA暗号とは
電子署名に使われているのは、公開鍵暗号方式のアルゴリズムの一種であるRSA暗号です。1978年に暗号化だけでなく電子署名にも使えるアルゴリズムとして、世界で初めて登場しました。
通常の公開鍵暗号方式では、文書を暗号化するために公開鍵を使用して、暗号化を復元するために秘密鍵が使われます。しかし、RSA暗号を電子署名に使用する場合には、通常と逆の方法で行われるのです。
まず秘密鍵を持っている側が、秘密鍵で自分の署名を暗号化します。受け取る側は公開鍵で署名を復号します。復号ができれば、相手がなりすましではなく正規の相手だと確認できます。
このようにRSA暗号を使った電子署名に利用すれば、非常に高い安全性やセキュリティが担保されるのです。
RSA暗号を使用した時の文書送付の流れ
送信者は、認証局に対して電子証明書の申し込みを行い、電子証明書を受け取ります。電子証明書を受け取ると、公開鍵と秘密鍵のペアができます。
送信者は、データをハッシュ値に変換してから、秘密鍵で署名を暗号化します。これを電子証明書とともに相手側に送ります。
受信者は、ハッシュ関数で文書を復元し、電子署名を公開鍵で復元します。データが改善されておらず、送信者本人からのものである場合にのみ復元できます。
電子署名と電子証明書について
電子署名には、PKI(公開暗号基盤)と呼ばれる暗号化の技術が使われており、秘密鍵と公開鍵の関連付けを行います。
電子証明書は、PKIにおいて公開鍵の役割を果たしています。 また、電子証明書を受け取るには認証局に申請する必要があります。
電子証明書は、印鑑登録のような役割を果たしています。なぜなら電子署名のある文書を受け取った場合には、電子証明書が信頼できるものであるかどうかを確認するからです。その電子署名が信頼できる認証局が発行したものか、電子証明書は有効期限内かの2点をチェックしましょう。
あわせて読みたい
電子署名と電子証明書の違いは?それぞれの仕組みとメリット・注意点
電子署名とは、電子文書に同意する際に行う署名のことで、電子証明書とは電子文書が改ざんされていないことを証明するものです。 この記事では、電子署名と電子証明書の...
電子署名付きのメールについて
代表的な電子署名付きのメールには、S/MIMEが 挙げられます。電子メールのやり取りをする際に、高度な認証や暗号化通信が行えるシステム です。
S/MIMEを使用すればメールの暗号化と電子署名ができるので、なりすまし対策として役立ちます。また、メールの改ざんも検知できるので、詐欺対策としても有効です。
ただし、送信者と受信者の両方がS/MIME対応のメールソフトを使用していなければ、文書を受け取っても内容を確認できない点に注意しましょう。さらにS/MIMEを使用する際には、認証局に電子証明書の申請をする必要もあります。
電子署名と電子サインの違い
電子サインとは、紙の文書や電子文書で行っていた同意や承認、本人証明などを電子上で行う一連の過程を指します。そのため、電子署名は電子サインの一形態と言えます。
他にも電子サインには、スキャンした手書きの署名や画像として保存された筆跡、生体認証など様々な方法が存在します。
電子サインでは法的な定義はありませんが、電子署名については電子署名法で以下のように定義されています。
(定義) 第二条 この法律において「電子署名」とは、電磁的記録(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるものをいう。以下同じ。)に記録することができる情報について行われる措置であって、次の要件のいずれにも該当するものをいう。 一 当該情報が当該措置を行った者の作成に係るものであることを示すためのものであること。 二 当該情報について改変が行われていないかどうかを確認することができるものであること。
出典:電子署名及び認証業務に関する法律 | e-Gov法令検索
電子署名は公開鍵暗号方式を使用しているので、秘密鍵を持っていなければ電子署名のある文書は改ざんできません。しかし、公開鍵暗号方式を用いていない電子サインでは、誰が文書に署名したのかを確認できません。 公開鍵暗号方式を用いなければコストがかからないため手軽に利用できますが、電子署名に比べると安全際は低いと言わざるを得ないでしょう。
あわせて読みたい
【弁護士監修】電子サインとは?電子署名との法的効力の違いや利用方法を解説!
テレワークの普及に伴い、「押印」が業務効率化の大きな障壁となっています。この課題を解決する鍵として注目を集めているのが、電子サインと電子署名です。しかし、こ...
そのため、大きな金額の契約や新しく取引する企業と契約する場合には、電子署名付きの電子契約書を利用するのが安全 です。また、電子契約書の締結をスムーズに行うには、電子契約システムサービスの導入をおすすめします。
電子契約システムの導入方法
電子契約システム導入するには、契約書の種類や作成の頻度、保管方法などの現状を把握します。管理体制とワークフローを確認したら、電子契約を導入する範囲を決定します。社内で扱っている契約書だけを対象とするなら、使用頻度が高い書類から電子化しましょう。社外の契約書も電子化する場合には、取引先の協力も得る必要がある点に気をつけましょう。
電子契約導入の範囲が決まったら、どの電子契約システムサービスを利用するかを検討 します。システムによって特徴があり、電子契約だけでなく業務全体の効率化を図れるサービスもあります。また他のシステムとの連携もできますが、連携できるシステムはそれぞれ異なるので、十分比較検討する必要があります。
あわせて読みたい
GMOサインは無料で使える?無料プランと有料プランの違いなどを徹底解説!リアルな口コミ・評判も紹介
GMOサインは、有料の契約印&実印プランだけでなく、利用期間の定めがない無料のお試しフリープランも用意されています。 当記事では、GMOサインの概要やお試しフリープ...
あわせて読みたい
【弁護士監修】電子契約サービス29社を徹底比較!どこを選ぶべき?特徴や料金、使いやすさなどをご紹介...
紙の契約書は、作成後に署名・押印を行い、さらに相手方にも同様の手続きをしてもらう必要があり、非常に手間がかかる業務です。しかし、電子データを用いて契約書の作...
導入する電子契約システムの候補が決まったら、システム担当者や電子契約に業務に携わる人たちへのヒアリングを行い、自社に合ったシステムを選びましょう。しかし、新しいやり方を採用する時には反発が予想されるので、社内全体と取引先に対して電子契約システム導入のメリットについて丁寧に説明しましょう。
社内や取引先の理解が得られたら、電子契約システムを正式に導入して初期設定を行い、ツールの動作を確認します。導入後は、社内研修を行ってシステムが十分使えるようにサポートします。また、トラブル発生時にはどこに問い合わせたらいいか伝えておきましょう。
あわせて読みたい
電子契約のシェアが拡大している理由と#電子契約のメリットを紹介!電子契約の選び方は?【おすすめの電...
現在電子契約のシェアは、拡大傾向にあります。 これまでビジネスの場における契約締結は印鑑での押印が一般的でした。しかし、押印に代わり、電子契約のシェアが広がり...
電子契約サービスを使うなら、「電子印鑑GMOサイン」がおすすめ!
web上のセキュリティ整備や電子署名への関心やニーズの高まりから、電子契約サービスを導入する企業が増えています。そこでおすすめのサービスが、電子印鑑GMOサイン です。
電子印鑑GMOサイン では、セキュリティの安全性を担保するためにクラウドサービスにおける情報セキュリティ管理策のガイドライン規格であるISO/IEC 27017やISMS(情報セキュリティマネジメントシステム)の国際規格であるISO/IEC 2700を取得しています。また、外部審査機関による監査も年2回実施しているなど日々セキュリティ体制の向上を徹底しています。
非常に安全性に優れた電子契約サービスなので、ぜひ導入をご検討ください。