セキュリティ視点だけの電子認証はダメ、リスクに応じた手法を

　情報セキュリティについて議論するイベント「SecurityDay2009」が16日、東京都内で開催された。インターネット社会における信頼（トラスト）の仕組みついて考えるパネルディスカッションでは、2000年に成立し、2001年に施行された「電子署名法（電子署名及び認証業務に関する法律）」以後の約10年を振り返り、電子認証のあり方について議論した。

セコムIS研究所の松本泰氏

　セコムIS研究所の松本泰氏は、情報セキュリティ関連のさまざまな法制度が作られてきた中で、「個人情報保護法」のように社会に大きなインパクトを与えたものがある一方で、電子署名法は逆にインパクトがなく、きちんと機能しているとは言いがたいと指摘する。

　その理由として松本氏は、あまりにもセキュリティを追求しすぎたために電子署名法による認証業務（認証局）の基準が厳しいものとなっていることを挙げる。活用されているのは電子入札ぐらいで、B2Bではほとんど使われず、ビジネスが生まれないのだという。電子署名法はもちろん、トラストの仕組みとしてセキュリティを確保するためにあるわけだが、「セキュリティの視点じたいが、逆に電子署名・電子認証が社会基盤として機能しない原因ではないか」。

　一方、インターネットにおける認証の手段としては、ユーザーID・パスワードという手法もある。本人確認が厳格とはいえない手法だが、松本氏は「無謬性を追求した電子署名法の世界」とは全く別の世界であり、「どちらもベストプラクティス」と指摘。コストや効率、利便性の観点もあわせ、リスクに応じた認証手法を考えることの重要性を訴えた。「2000年ごろはセキュリティの視点からだけトラストを作ろうとしていた。しかし、セキュリティの視点からだけでトラストを作れるものではない」。

　パネルディスカッションではこのほか、電子署名は「印鑑の世界」であり、メールのような電子文書交換システムまでしか想定していないとの指摘もあった。サーバー間で取引処理を行うようなB2Bシステムとは、微妙にずれてきているのだという。

　「SecurityDay」は、JPCERTコーディネーションセンター（JPCERT/CC）、日本インターネットプロバイダー協会、Telecom-ISAC Japan（日本データ通信協会）、日本ネットワークセキュリティ協会、日本電子認証協議会の共催で開催される、12月恒例のイベント。2006年までは「Internet Week」と併催だったが、2007年からは独立して開催されている。