本日の話 最近の ICT の動向 タイムビジネスの考察 正確な時刻の配信と原本性の証明のための時刻認証 ( 第三者による ) 最初に目指したのはアナログよりも安全なデジタル文書 後の 10 年 ICT により何が? デジタル時代の人間行動情報社会での人間行動 あるべき姿アイデンティティとの関連 パー

Transcription

1 安心 安全な社会への ICT 技術 - デジタルでの原本性の証明 中央大学 大橋正和

2 本日の話 最近の ICT の動向 タイムビジネスの考察 正確な時刻の配信と原本性の証明のための時刻認証 ( 第三者による ) 最初に目指したのはアナログよりも安全なデジタル文書 後の 10 年 ICT により何が? デジタル時代の人間行動情報社会での人間行動 あるべき姿アイデンティティとの関連 パーソナルデータ 方向性のまとめ

3

4 アイデンティティ ID 個人 法人等を区別するために割り振る ID により本人を認証する技術ではない 確認するためには ID が知られていなくてはならない 理想 ID そのものは他者に知らせない

5 クラウドとセキュリティ 安全利用 CIA( 機密性 完全性 可用性 ) 従来のアウトソースの利用の問題同じ 境界の問題 パブリックープライベート 論理的な分離に対する境界 ( 仮想化等も含む ) API( クラウドの制御 ) に関する 認証の問題 アイデンティティ基盤等分散型認証 デジタル フォレンジック 物理的な実態と論理的な実態の乖離 ( ログ追跡性 ) 5

6 信頼できる社会基盤としてのネットワーク信頼性のあるネットワークを基盤とした安心 安全な情報社会を実現するためには セキュリティ基盤 アイデンティティ基盤 サービス基盤の 3 つの基盤を確立する必要がある 特に 情報の適正な利用を図るためのアイデンティティ基盤とタイムスタンプが重要である 情報の適正な利用 情報システムを利用する全てのアイデンティティを漏れなく分散環境下で統合的に管理 運用すること ( アイデンティティ基盤 ) 認証 許可 属性といった厳密な本人認証と 許可された必要な範囲内に限られた情報アクセス制御を行うこと ( アイデンティティ基盤 ) 誰がどの情報アクセスをいつ行ったのかをきちんと記録し 内容も含めて第三者による原本性の証明が可能なこと ( タイムスタンプ ) アイデンティティの 5A 認証 (Authen4ca4on) 利用者をユニークに特定するための情報 認可 (Authoriza4on) 利用者に与えられる権限情報 ( 情報へのアクセス 操作許可 ) 属性 (A<ribute)) 利用者の個人属性 ( 所属 役職など ) 運営 管理 (Administra4on) アイデンティティの適切な運営 管理 監査 追跡 (Audit) セキュリティ上の問題がないことを保証 説明する ( 監査 追跡 ) 相互運用性 :5A 全てにおいて異なる認証主体間 サービス主体間で連携し ワンストップサービスとそれに伴う認可 属性の交換 複数の認証主体にまたがる追跡 監査の実現が必要である このアイデンティティ基盤は RFID などの広範な普及によって航空手荷物のように荷物にも人のアイデンティティを付与したり ユビキタス環境では 物品 ( 生産者証明等 ) にも数々の情報を付与するときにはアイデンティティ基盤が重要な役割を果たすことになる

7 認証の 5A

8 情報通信フォーラム タイムビジネスとは何か! 2004 年 11 月 30 日 Web サービスイニシアティブタイムビジネス推進協議会中央大学総合政策学部 / 総合政策研究科大橋正和

9 タイムビジネス 正確な時刻の配信 ネットワーク 正確な時刻の重要性 正確な時刻による認証 タイムスタンプ時刻認証 デジタルコンテンツの原本性証明 長期間にわたる証明 ( 例 :30 年 ( ドイツ )) 9

10 セキュリティの考え方 電子社会のセキュリティ 3 つのポイント 1Defend 侵入やウイルスに対する防御 2Detect 不正侵入や攻撃の検出 3Enable 信頼性を実ビジネスと同じレベルにする セキュリティ対策 ( 電子商取引 ) Ⅰ. 本人確認 サーティフィケーション なりすまし を防ぐ Ⅱ. メッセージの暗号化 情報漏洩防止 Ⅲ. メッセージの改ざん防止 - 原本性の証明 原本性 ( 改ざんされていないこと ) の証明 10

11 11 OATS(Order Audit Trail System: 注文監視追跡システム ) ルール 米国における標準時刻配信サービスの普及の契機 1998 年の米国証券取引市場における OATS(Order Audit Trail System: 注文監視追跡システム ) ルールの制定 取引に関係するあらゆるコンピュータシステムやタイムスタンプ装置が NIST( 米国標準局 ) の原子時計に対して 3 秒以内で同期していなくてはならないとした自主ルール この 3 秒以内には 1 時刻の供給者と NIST の標準時刻との差 2 送信源からの伝送遅延時間 3 証券業協会 (NASD) メンバーの時刻の誤差を含む OATS ルールは 証券市場における自主規制であるが この背景には 1996 年米国の証券取引委員会 (SEC) の証券業協会 (NASD) に対する行政処分 NASDAQ の手数料談合問題で 協会が監督を怠ったとして 以後の 5 年間でのべ 1 億ドルの予算を市場監視強化に当てることを義務づけた この結果 注文伝票に記載する時刻は 分単位 であったのが 秒単位 まで の記載が求められるようになった

12 タイムビジネスの利用イメージ 入札日時 2002 年 4 月 1 日 証券取引 取引日時の公平性を保証 ネットゲーム ネット利用の対戦等でより多彩なゲームが実現 電子入札 電子政府における電子入札等の公平性を確保 ネットオークション オークションにおける公平性の確保 通信販売 電子商取引における 信頼性の向上 電子カルテ 医療機関におけるカルテ レセプト等の日付正当性を保証 特許申請 発明の日時を証明

13 タイムビジネスの将来イメージ サービスイメージ 利用分野 標準時配信サービス 無償にて公的に提供されている長波標準電波等により配信される標準時を利用する 1 標準時配信 受信型 CRL が送信している長波標準を受信し 自動的に時計を標準時に同期させる 公的に公開されている NTP サーバーと時刻同期を行ない 自動的にサーバーの時刻を標準時に同期させる JJY( 電波時計 ) NTP サーバー 情報システムに対して正確な時刻を配信したり 契約ユーザーの利用している時刻の正確さを証明する 契約ユーザーへ時刻の配信を行うと共にユーザーが利用している時刻が正確であることを証明する 2 標準時配信 証明型 idc において 標準時を受信し すべてのサーバーの時計を標準時と同期させることにより すべての idc ユーザーに対しサーバーの時計の正確さを保証し 公平なサービスを提供する ISP 事業者が サーバーの時刻を標準時と同期させることにより サイトに表示される時刻や メールの送信時刻 到着時刻の正確さを確保する コールセンターにおいて システムの時計を標準時に同期させることにより 顧客から電話を受け付けた時刻の正確さを保証する ネットゲームにおいて サーバーの時計を標準時に同期させることにより クイズ等の早押しを競ったり 時刻限定イベントでのサービスの公平性を確保する idc ISP コールセンターネットゲーム 認証の対象となる電子文書を単独の利用者内で保存する ビジネスシーンにおいて作成された文書に対し 文書が作成された時刻の証明や文書の非改ざん等 文書の原本性の確保を行なう 医療機関において医師が電子的に作成するカルテの内容を保存し カルテの非改ざんを証明する 企業の研究開発業務において電子的に作成された研究日報等の作成時刻を証明することにより 特許に関連した係争等において 発明の時刻を証明証明することができる 医療 ( 電子カルテ ) 特許知的財産 時刻認証サービス インターネット上で取引や手続きが行われた時刻や電子文書が作成された時刻を証明する 13 時刻認証 保存型 3 認証の対象となる電子文書を複数の利用者間でやりとりする 時刻認証 流通型 4 個人が保有する電子文書やマルチメディアコンテンツ等をインターネットを通じでウェブサイトに登録し 文書の原本性の確保や著作権の保護を行なう 中央省庁や自治体における電子入札や 電子申請の際 入札記録や申請記録を保存し原本性を確保する オンライン上での事業者と顧客との取引記録を保存し トラブルが発生した場合等 必要に応じて取引記録の原本性を検証する インターネットバンキングにおける残高記録等 個人が非改ざんを証明したい電子データの非改ざん証明を汎用的に利用する フリーのクリエイターやデザイナーが自分の作品を登録することにより 著作権を保護する 行政機関が実施する電子入札において 入札記録を保存する 行政機関への電子申請において 申請記録を保存する オンライントレードにおける顧客からの注文情報を保存する コールセンターにおいてインターネット経由で受け付けた顧客からの届出等を保存する ネットショッピングにおける顧客の取引内容を保存する ネットオークションにおいて 参加者の応札記録を保存する 著作権など 電子入札電子申請 オンライントレードネットショッピング ネットオークション 7

14 タイムビジネスの将来イメージ 1 標準時配信 受信型サービスのイメージ 2 標準時配信 証明型サービスのイメージ 標準時受信装置製造事業者 idc 事業者等 国家時刻標準機関 装置等を販売 標準時受信ユーザー 要求により証明書等の発行 標準時を受信 標準時を受信 標準時配信事業者 ネットゲーム 3 時刻認証 保存型サービスのイメージ 特許 知的財産 4 時刻認証 流通型サービスのイメージ オンライントレード 電子入札 時刻認証事業者 時刻認証事業者 入札日時 2002 年 4 月 1 日 10:00 医療 ( 電子カルテ ) オンラインショッピング タイムスタンプを付与し保存 14 ビジネス文書 タイムスタンプを付与し保存 ネットオークション

15 電子化の基本方針 抽象化 ポリシー スタンダード ( ガイドライン ) プロシージャ 一体化 15

16 ご静聴ありがとうございました!