PKIアウトソーシングサービスとして多彩なソリューションを提供 　「ベリサインのマネージドPKIサービス：VeriSign OnSite」 　第3回 電子署名ソリューション （2）

	ベリサイン セキュアビジネス シリーズ： 　日本電子公証機構 証跡管理 ソリューション（dPROVE）との連携

　重要な文書ファイルをインターネットでやり取りするに当たって、従来は以下のようなさまざまな不安や問題点を抱えていたのではないだろうか。

• 文書ファイルの本人性と非改ざん性を証明できる方法はないだろうか？
• 文書ファイルをネットワーク上で安全に保存・共有・交換するには どうしたらよいだろうか？
• 自社で運用しなくても、低コストで安心して、すぐに利用できるサービスはないだろうか？

　そこで、これらの問題点を解決するための電子公証といわれる証跡管理サービスを紹介しよう。

　電子公証とは、電子的な文書ファイルに関して、第三者的な立場でそのデータの所有者の保証、データの完全性の保証、安全なデータの交換などを実現する機能である。従来の文書ファイルの扱い方と大きく異なるのは、公証機関にデータを預け、その公証機関がそのデータにかかわる認証を厳格に行うことである。

　この電子公証をサービスとして実現したのが「日本電子公証機構dPROVE」である。これは、dPROVEに登録した個々のデータの本人性と原本性を、ユーザーのデジタル証明書と手書き署名、データのハッシュ値、日本電子公証機構以外の第三者によるタイムスタンプを使って、日本電子公証機構が第三者の立場で電子的に証明するサービスである。

　そしてdPROVEでの本人認証は、申し込み時から電子証明書の発行を行う場合すべてにおいて必要となる。実際のデータを扱うためには、電子公証機関へのログインが必要で、そのログインを行うには、手書き署名（筆跡認証）を使用する。こうした厳格な運用から、データの取り扱いに関してはかなりの信頼性があるといえる。

　具体的には以下のサービスが利用できる。

• 文書ファイルの登録者（本人性）やデータの原本性などの“正当性”を証明する「証明サービス」
• 文書ファイルを安全に保存する「保存サービス」
• ユーザー間で安全で完全なデータ交換を実現する「共有交換サービス」

	dPROVEのサービスとは

　では、それぞれのポイントを紹介していこう。

●証明サービス

　「証明サービス」は、電子ファイルについての「だれが」「何を」「いつ」を証明するもの。まず、電子ファイルの登録時に登録証が発行される。その登録証は登録した電子ファイルと対になるもので、その電子ファイルをdPROVEに登録したのは「だれ」で、その電子ファイルは「何」か、それを「いつ」登録したかの情報を含んだファイルである。もちろん、その電子ファイルの登録時やdPROVEシステムにログインする場合に、デジタル証明書およびバイオメトリクスによる本人認証が必要となる。

　証明の手順は、登録証と登録された電子ファイルを使用し、電子公証サービスに電子ファイルの正当性を証明する証明書^＊1の発行を要求する。電子公証サービス側では、その情報に基づき電子ファイルの正当性を証明し判定結果を証明書として発行する。

図12 電子ファイルの正当性を証明する「証明サービス」

●保存サービス

　「保存サービス」は、ユーザーが定める任意の期間、電子ファイルを日本電子公証機構のキャビネットで安全に預かるサービスである。

　ユーザーは、必要に応じて保存しているファイルの謄本（証明可能な複製電子ファイル）を取り出すことができ、登録したユーザーが共有を許可した相手（これにより、「だれと」を特定し、証明する）に限り、保存ファイルの謄本を取り出すことができる（「保存ファイルの共有交換サービス」）。 電子ファイルの登録時に証明サービスによって発行された登録証を用いれば、後から自由に保存しているファイルの証明書を取得することができる。

図13 電子ファイルをキャビネットで安全に預かる「保存サービス」

●共有交換サービス

　日本電子公証機構のキャビネットで保存されている電子ファイルは、そのファイルを登録したユーザーが共有を許可した相手^＊2に限り、共有することができる。

　共有を許可されたユーザーは、そのユーザー自身の専用キャビネット（私書箱）で保存ファイルを閲覧したり、ダウンロードができるとともに、ダウンロードした電子ファイルの証明書を取得することもできる。 またユーザーは、保存共有ファイルを相手が取得したかどうかや、取得時刻の記録（ログ）を閲覧することができる。

図14 キャビネットで保存されている電子ファイルを共有できる共有交換サービス

　ここで、dPROVEサービスの仕組みをまとめると以下のようになる。dPROVEサービスで使用される証明書は、VeriSign OnSiteで発行される証明書であり、同サービスにおいて証明書が重要な役割を果たしていることが分かるだろう。

	dPROVEサービスの申し込みおよび、証明書取得の手順

　ここで、dPROVEサービスへの申し込み、および証明書の取得の手順を追ってみる。

図15 dPROVEサービスの申し込み手続きから、サービス開始までの流れ

●申請書類

　dPROVEサービスの利用に際しては、以下の書類の提出が事前に必要となる。

• dPROVE入会申込書（申込書をダウンロード）
• dPROVE登録申込書（ご利用者数分、申込書をダウンロード）
• 印鑑登録証明書 代表者印に係る印鑑登録証明書発行日より3カ月以内のもの
• 商業登記簿謄本（履歴事項全部証明書） 発行日より3カ月以内のもの
  

　これらの書類を日本電子公証機構に提出し、受領されると以下のようなメンバー登録シートが郵送されてくる。

●手続きの流れ

　では、dPROVEサービスを受けるために、デジタル証明書を取得するための準備を以下の手順で行おう。

1. デジタル証明書申請
2. デジタル証明書確認
3. ダウンロード
4. ルートCA証明書のインストール

●デジタル証明書の入手

　日本電子公証機構のWebサイト（https://prove1.jnotary.com/）でデジタル証明書を取得する。

図16 デジタル証明書の申請画面

　［メンバー準備メニュー］から［デジタル証明書申請］を選択し、デジタル証明書の申請画面（https://prove1.jnotary.com/client/userEnrollMS.htm）で、日本電子公証機構より送られてきたメンバー登録シートの情報を入力し、［Accept］ボタンを押し、日本電子公証機構へ申請する。

図17 デジタル証明書の申請画面

●デジタル証明書の確認　

　申請が受理されデジタル証明書を入手したら、その証明書を確認する。［メンバー準備メニュー］から［デジタル証明書確認］を選択すると、［クライアント認証］の識別を選択するダイアログボックスが表示されるので、使用する証明書を選択し、［OK］ボタンを押す。

図18 クライアント認証用のデジタル証明書の選択

　続いて、取得した証明書の内容が表示される。

図19 デジタル証明書の確認

●クライアントモジュールのダウンロード

　証明書を使用するための準備として、クライアントモジュールをダウンロードする。［メンバー準備メニュー］から［ダウンロード ］を選択する。

図20 クライアントモジュールのダウンロード

●ルートCA証明書のインストール

　日本電子公証機構の認証局は、ルートCAに当たるためにこのままの状態であれば信頼されていない認証局からの証明書になる。そのため、ルートCAの証明書のインストールが必要になる。ルートCA証明書のインストールは、証明書をダウンロードしWebブラウザにインストールすることで行う。証明書をインストールすると、以下のように表示される。

図21 インストールした証明書の確認画面

図22 証明書の一覧

●メンバーメニューを開く

　メンバーメニューを開く場合、証明書が必要になる。［メンバー準備メニュー］-［戻る］を選択するか、日本電子公証機構のWebサイト（http://www.jnotary.com/）上の電子ファイル公証サービスdPROVEのマーク（http://prove2.jnotary.com/）を押すとメンバーメニューが開く。ここで［メンバーメニュー］を選択すると、クライアント認証に必要な証明書が要求される。この証明書は、すでに取得しているために次のようなクライアント認証を識別するためのメッセージが表示される。

図23 クライアント認証の識別選択

図24 dPROVEメンバーメニュー（サービスメインメニュー）

●手書きサインの登録

　サービスを使用する場合に証明書のほかに手書き署名による筆跡の認証も必要になる。手書き署名は第2回で紹介したPUPPYなどと同じバイオメトリクスの1つだ。ここでは自分の筆跡を登録するために手書きのタブレットを使用し、署名登録する（ここでは、タブレットの接続および設定については省略する）。

　 ［サービスメインメニュー］から［自署メニュー］を選択する。メニューに従って、1.自署練習、2.自署登録、3.自署確認を行い筆跡を登録する。

図25 ［自署メニュー］の表示

図26 自署の記述練習

図27 実際にタブレットに自筆してみる

●証明書の保存（例えばPUPPYで証明書を保存し使用する）

　取得したデジタル証明書は、Webブラウザに保存されている。つまり証明書はHDDの中に保存されていることになる。この場合、証明書はインストールされているPCでしか使用できない状態にある。また、不正なアクセスにより証明書が盗まれることも考えられる。そこで、すでに紹介したPUPPYのようなトークンデバイスに証明書を格納すれば、ほかのPCで同じように使用することができ、かつ安全な秘密鍵の運用が可能となる。

　ではここで、前回紹介したPUPPYに、証明書を保存してみよう。Webブラウザの中に格納されている証明書をPUPPYに格納するためには、まずブラウザから証明書をエクスポートする必要がある。エクスポートは、証明書を表示させ、目的とする証明書を選択し、［エクスポート］ボタンを押すことにより行える。

図28 証明書を選択し、エクポートを行う

図29 エクスポートウィザードが起動し、エクスポートが行われる

　次にエクスポートされた証明書をPUPPYに格納する。PUPPYの証明書の管理を行う［UserManager for Internet Token］ダイアログボックスの［証明書］ボタンを押すことで証明書をインポートする。

図30 ［証明書］ボタンを押し、証明書をインポートする

　証明書の認証のための指紋の登録が完了すると、dPROVEのメンバーサービスに入る際に、下記のように認証を促すメッセージが表示される。これで、より強化された認証システムとなった。

図31 dPROVEのメンバーサービス利用時に認証を促される

dPROVEのサービスの使用方法

ロードマップ

■第1回 PKI運用の新しいかたち 　 （1） - PKIの使用用途 　 - マネージドPKIサービス「VeriSign OnSite」とは 　 （2） - VeriSign OnSiteの申請手順 　 - 認証局の設定 　 　 - 証明書利用者が証明書を取得する場合の手順 　 　 - 加入者の承認 　 - ベリサイン マネージドPKIサービスのまとめ ■第2回 ユーザーサイドのソリューション 　 （1） - 電子メール、Webブラウザでの利用 　 （2） - ソニー 指紋認証 ソリューション（PUPPY）との連携 　 （3） - システムニーズ 本人認証 ソリューション（WinSafe）との連携 　 - 広がりが期待できる本人認証ソリューション ■第3回 電子署名ソリューション 　 （1） - シヤチハタ 電子決裁 ソリューション（パソコン決裁）との連携 　 　 - VeriSign証明書取得からパソコン決裁で使用するまで （2） - 日本電子公証機構 証跡管理 ソリューション（dPROVE）との連携 　 　 - dPROVEのサービスとは 　 　 - dPROVEサービスの申し込みおよび、証明書取得の手順 　 （3） - dPROVEのサービスの使用方法 　 - 連載の最後に