インターネットサービスの信頼性が担保される方法とは

筆者:JIPDEC
インターネットトラストセンター 事業推進グループ
伊藤 健太郎


GMOグローバルサイン社のブログに掲載しました、「インターネットビジネスの信頼性を「担保する」仕組みとサービス」においてサービスに対してどのように信頼性を担保するかということを、組織認証したサーバ証明書(以下、サーバ証明書)やeIDAS規則から海外の動向を中心にご説明いたしました。
本コラムでは、国内におけるインターネットトラストをJIPDECの取り組みなどを交えて解説をいたします。

クラウドサービスの台頭による信頼の在り方

「インターネット上の各種サービスの信頼性(トラスト)とは」のブログから、信頼性という言葉を使用しています。一体どのような定義、概念を指しているのでしょうか。
JIPDECでは「インターネット上の各種サービスの信頼性(トラスト)」を「インターネットトラスト」という言葉に置き換え、このトラストに必要な要素が3つの観点で存在していると考えています。
(1) 不確実性(リスク)を前提とした期待の醸成
(2) 包括的なセキュリティ対策の実施
(3) クラウドサービスプロバイダの信頼性に関する情報の提示


この3つの要素が組み合わさることにより、インターネットトラストという概念が発生致します。

(1) 不確実性(リスク)を前提とした期待の醸成
クラウドサービスは、即時に利用が可能となっており且つ、コストや知識なども含め手軽に開始できるという利点により、各方面でのサービスの拡大や、利用者の増加が進んでいます。一方で、クラウドサービス上にデータを預ける、保管するということを容認しなくてはなりません。このクラウドサービス自体が、実は社会的に不確実性の高い状態であることを前提としたサービスなのです。このように社会的に不確実性の高いクラウドサービス上にデータを預けることにはリスクが存在することを前提としてクラウドサービスの利用を行わなければなりません。クラウドサービスプロバイダが提供するサービス自体の、リスクを把握、管理して、そこに関わるセキュリティ対策状況などを第三の機関が確認することで、トラストの確保につながると言えます。

(2) クラウドサービスプロバイダの信頼性に関する情報の提示
日本の習慣として、対面での取引やコミュニケーションを重要視する傾向にあります。直接対面することで得た印象や実在性の確認が安心につながっています。
「対人関係」、「過去の取引実績」に問題がないこと=「トラスト」という概念が浸透しているのです。日本でよく見られる傾向の一つとして、大企業などでは過去に取引のない中小の企業と取引を行おうとする場合、口座開設ができないため、既に取引のある販社などを経由しないと、サービスの提供や購入ができないということがあります。更に、サービスや製品などを採用するにあたっても、同業他社での実績が重要視される評判や口コミを信用する傾向もあります。しかしながら、インターネットによるビジネスが当然の世の中になり、サービスや製品は対面で購入することが当たり前ではなくなりました。サービスを提供する事業者側と、サービスを購入する利用者側で、売買に関する考え方が非対称的な状況になっていっています。また、今後は新たなサービスや技術の登場も見込まれ、より利用に関しての基準が求められていくのではないでしょうか。このようなことからも、サービス利用者を安心させるための要素をオープンにすることが必要になってきていると考えます。

(3) 包括的なセキュリティ対策の実施
インターネットは初め、軍事、学術ネットワークとして用いられており、利用者が限定されていました。ところが、商用化が進むにつれて利用者が増加し、インターネット接続をしている端末もパソコンやモバイル端末から家電や自動車、工場機械などのIoT機器といったモノまで多種多様な接続が見られるようになりました。このような時代に突入すると、余計にセキュリティの位置づけが重要な要素となっています。特に、生命や財産の危機に直結するデータへの攻撃などは、より高いセキュリティ対策が重要といえます。

企業とサービスを結びつける役割のJIPDEC

インターネットで何かを購入したい、サービスを受けたいと考えたとき、検索をして表示されたサイトへ移動すると思います。サイトに訪れたときに、そのサイトを運営している組織はサーバ証明書によって確認することができます。
しかしながら、見方を変えるとサーバ証明書は、運営している組織が存在していることだけを明示するだけであって、信頼に足る組織かという点においては保証がされないのです。組織の信頼性という観点では、企業データベースなどで、該当組織の情報を調べるという方法があります。この企業データベースによっては、企業の基本となる情報である、会社名や住所のようなものから与信情報、倒産情報、自治体の行政処分情報のような信用情報、労務状況や調達情報などのような現在組織として活動しているかということを示す情報まで様々なものが掲載されています。これらを活用することで、現在その組織がどのような状況にあるのかという点を見ることができます。

ただ、ここまで見ても、提供されているサービスについては何も言及がされていません。それでは、どのようにしてサービスの信頼性については確認をすればよいのでしょうか。認証局のサービスではWebTrustやETSIの監査をクリアしていることにより、信頼された認証局ということになっています。タイムスタンプサービスについてもタイムビジネス認定センターの認定を取得することにより、国税などの一部書類について効力を発揮するようになります。このように、第三の機関によるサービスの存在や正当性を認める方法は、いくつか存在します。しかしながら、認証局のサービスにはパブリック認証局と呼ばれるものと、プライベート認証局とよばれるものの2つが存在します。前述の通り、パブリック認証局は既に基準が設けられていますが、プライベート認証局はどのように信頼をすればよいのでしょうか。プライベート認証局から発行される電子証明書は社内や組織内のような閉ざされた世界での利用がメインのため、特にパブリック認証局のような信頼性の付与は必要ないと考えられがちでした。

ところが近年では、電子証明書が電子契約等における署名に用いられることも増えてきており、更に、この電子契約で利用する電子証明書をプライベート認証局から発行することも少なからず存在します。電子契約サービスベンダーがサービス上で利用させる電子証明書を、サービスベンダー自身が運用しているプライベート認証局から発行したものを利用するケースもあります。このような使い方ですと、電子証明書は組織の外に出ているため、パブリック証明書のように信頼されている必要があると考えます。ところがプライベート認証局から発行された電子証明書のため、信頼性は担保という面では、弱いと言わざるを得ません。

JIPDECでは上記のような認証局サービスや電子契約サービスに対して信頼性を与えるJCANトラステッド・サービス登録を提供しています。

図:信頼あるサービスの概念

インターネットサービスへのトラストの付与

2017年にJIPDECはJCANトラステッド・サービス登録を開始しました。

図:JCANトラステッド・サービス登録を用いたサービスの選定方法

上記の図のように基準をクリアし、付与されたサービスはJCANトラステッド・サービス登録証が発行され、セキュアで且つ安心して利用可能なサービスとして対外的なアピールにつながります。次にJCANトラステッド・サービス登録を取得しているサービス間連携を行うことで、異なった事業者のサービス間においてデータのやり取りなどが行えれば、電子契約サービスを利用しているユーザーの利便性の向上にも繋がると考えています。
この連携をTrusted Transaction Exchange(TTX)と呼び、今後の国内における電子契約サービスなどの検討課題の一つと捉えられています。

TTXの詳しい内容については、後日別のコラムで説明することを考えています。

最後に

今後のJIPDECとしての取り組みは、ここまで頻繁に出てきましたインターネットトラストという概念の普及啓発活動等を行っていくことになります。また現在のJCANトラステッド・サービス登録は、認証局サービス並びに電子契約サービスのみのサービス提供となっています。今後は、各種クラウドサービスへの拡充も視野に入れています。

ページの先頭へ戻る