暗号技術のいま ネット社会とPKI
<暗号技術のいま ネット社会とPKI>第11回 PKI技術の応用(その2)-ウェブ型電子商取引システム-
2002/05/06 16:18
週刊BCN 2002年05月06日vol.939掲載
情報セキュリティー技術部研究員
デフレ時代の昨今、製品やサービスの価格競争は厳しさを増す一方で、あらゆる業種の企業にとって、原材料や設備などの調達コスト削減、在庫の削減が至上命題となっている。ここ数年インターネットのインフラが整ってきたこともあり、あらゆる規模の企業が電子商取引を積極的に活用して取引先を広げ、調達コスト削減や取り引きの迅速化による在庫縮小、タイムリーなサービスの提供を実現しようとしている。一般にインターネットはその性質上、通信経路上の安全性が保証されていないため、企業間取引にとって重要な取引当事者間の相互認証、取り引きされる情報の秘匿、改ざん防止、否認防止などを行うためのシステムが必要となる。しかし、当事者同士で独自の運用ルールやハード、ソフトを必要とするようなシステムでは、取り引きする相手ごとにこれらが変わることになり、取引先が増えれば増えるほど、企業にとっては大きな負担となってくる。取引先を広く国内外に求めるような場合、これはとくに大きな問題である。インターネット上で企業間電子商取引を安全に行うためのインフラシステムは、特殊な取引手順、認証ルール、通信手順などを前提とした閉鎖的なシステムではなく、安全性が客観的に保証され、かつ一般に普及して誰もが利用可能なシステムである必要がある。このような条件を満たす1つの解として、ウェブアプリケーション技術とPKI技術を組み合わせる方法がある。取引者間のユーザーインターフェイスをウェブアプリケーションで実現することで、ブラウザを利用して誰もが電子商取引を利用することができる。さらに、ブラウザがもつ暗号通信機能を利用して通信の秘匿を行い、デジタル証明書を導入することでユーザーあるいは企業間の相互認証、デジタル署名による取引内容改ざん防止を実現することができる。企業は、デジタル証明書を相手先の指定する証明書発行局(CA:Certificate Authority)に発行してもらい、ブラウザに導入するとともに、相互に証明書を交換するだけでよい。
2001年4月から国内において特定認証業務の認定制度がスタートし、公的に認められた証明書発行機関が発行業務を担うことで、より信頼できる証明書の入手が可能となった。また、最近では証明書によるユーザー認証機能や暗号機能をウェブアプリケーションから分離独立させ、ウェブアプリケーションごとにそれらの機能を用意せずに済むようなソフトウェアがあり、安全な商取引システムの構築・運用コストが削減できるようになってきている。例えば、三菱セキュアウェブアクセス「MistyGuard」(ミスティーガード トラストウェブ。以下TRUSTWEB)は、デジタル証明書によるユーザー認証機能、その結果をウェブアプリケーションに通知する機能、暗号通信機能に加え、ディレクトリやファイル単位でのきめ細かなアクセス制御機能をもっている。さらに、TRUSTWEBを利用するウェブアプリケーションのプラットフォームに一切依存しないという優れた特徴をもっており、電子商取引のインフラとして利用されている。
TRUSTWEBのURLは、http://www.mdis.co.jp/service/nwsecur/trustweb/tw_index.html。
- 1
外部リンク
http://www.mdis.co.jp/service/nwsecur/trustweb/tw_index.html