筆者:久野保之 

目次

 「トラスト」とは「信頼」を意味しますが、昨今のデジタル化社会においては、

  誰が(システムのユーザ) / 何を(データ) / いつ(処理した日時・時刻)

といった要素が本当に正しいのか? 信頼して良いのか? という疑念に答えることが出来る「しくみ」なのだろうと、私は考えます。

 「デジタルトラスト」という言葉で表される新しい世界について、『デジタルトラスト協議会(JDTF: Japan Digital Trust Forum)』は以下のように述べています。

 我が国政府はAI・5G・IoT等のデジタル技術をあらゆる産業や社会生活に取り入れ、経済発展と社会的課題の解決を両立していくSociety 5.0社会の実現を提唱しています。デジタル技術を用いて、組織・人・モノ・データ・プロシージャ・システムの信頼(トラスト)を確保することで、諸課題に対するイノベーションを起こすことが、人々のより豊かな暮らしを実現するための鍵となります。こうした中で、様々なステークホルダーが協調しデータの国際的な流通を見据えて、欧州eIDAS規則など諸外国との調和などを含めた信頼を担保する仕組みの構築とこれらの社会実装をルール形成とともに加速させることがますます重要になると考えています。(https://d-trust.sfc.keio.ac.jp/jdtf/

 本コラムでは、デジタルトラストの基本である「人(システムのユーザ)」のトラストについて、どのようなことを検討し、規則やシステム基盤の構築をしなくてはいけないのか、国際的な位置づけの中で考えてみました。

<Identity Assuranceとポリシー>

 人のトラストは、IDとかアカウントといった「識別コードを付与して良いか」というところから始まります。

 基本は「本人か?」ということについてどの程度の確からしさを求めるか…つまり偽名であっても使用料さえ払ってくれれば良いというものもあるでしょうし、社会的存在が確かな人であるべきなら、運転免許証やマイナンバーカードなどを確認書類とすれば行政による保証がなされているので確実だ、といったこともあるわけです。もっと高度な要件としては、政治的背景や犯罪歴、借金の有無などの確認を必要とするケースもあるでしょう。

 こうした「身元確認/本人確認/プルーフィング」といったプロセスを、「Identity Assurance(アイデンティティの保証/ID管理)」という問題として全てのシステムやサービス提供者は考え、ID発行管理のしくみを構築して行く必要があります。

 しかしながら課題は、システムによってその考え方やポリシーが異なることです。昨今のように、多くのサービスがインターネットなどクラウドで提供され、利用者を識別するID管理がシステム毎に行われる状況では、

  • ID発行や変更・削除など、管理者の手間が大変
  • 身元確認(トラストの保証)を個別にやるのは難しい
  • ユーザ側もたくさんのIDやパスワードを管理しきれず、ずさんな管理になってしまう

といった問題があり、同じ考え(ポリシー)で良いシステム同士ではIDを共通にしましょう、という流れがあります。

 例えば、昨今はGoogleやFacebookアカウントでログイン出来るサービスも多く見受けられます。つまり、Googleがユーザとして認めている人なら、自システムのユーザとして認めても良いだろうというポリシーとしたからです。

 従って、ID管理のポリシーを共通に出来るシステム同士は、ID発行は一元的に行うことで問題の軽減が期待できます。その共通化の動向にも国際的な動きがあり、欧州(eIDAS規則:Electronic Identification and Trust Services Regulation)や米国(Identity, Credential, and Access Management (ICAM)およびNIST SP 800-63:Digital Identity Guidelines)などでは、3つのレベルに分けてポリシーの共通化を行うことをガイドラインとして示しています。

 以下は、SP 800-63における

  1. IAL(ユーザ身元の確からしさ)
  2. AAL(ユーザ認証の確からしさ)
  3. FAL(連携方法の確からしさ)

の、それぞれ3つのレベルについて説明しています。

デジタル庁 トラストを確保したDX推進SWG(第4回)P.10より

<日本のID事情>

 実は、わが国でも「こういった国際規格に準拠したID管理をしています」というシステムが数多くあります。しかしながら、個々には国際規格を意識しているのですが、国として全体を体系化したガイドライン等はありません。個別のシステムが、それぞれ外国の規格を参考にポリシーを作り運用しているので、実際には国際規格のどのレベルに適合しているのか、あいまいなことが多いわけです。

 そうなると、複数のシステム間や国際的なID連携をしようという際に、相互に同等かどうかということを簡単には確認できない状況にあると言えます。特に、安全保障関連などハイレベルな要件のシステムにおいて、関係各国との相互性を明確に説明できない現状では、相手から信頼(トラスト)されない状況が生じてしまう可能性があります。

 米国の安全保障情報を扱える人を認証する「セキュリティクリアランス制度」に対応する同等の制度がないという問題も、例えば、民間の組織/人を含むID管理のしくみがないとか、身元確認で犯罪歴を第三者が確認できない、などの社会的な制度を含む課題を解決しない限り、相互に認められるようにはなりません。

 そういった全体体系の整理・制度化について、デジタル庁の「トラストを確保したDX推進サブワーキンググループ」や、前出のJDTFなどで検討が重ねられています。

 IDというと、日本ではシステムにログインする時のコードのように考えがちですが、ID=Identificationつまり人のアイデンティティをどのように示すか、という視点でのルール形成が必要と思われます。

 我が国では、約20年以上前になりますが、電子署名法が施行され、政府機関との契約や入札時に電子証明書が使えるようになりました。また、電子署名法制度とは異なりますが政府側には「官職証明書」、民間側には法人代表者等に「商業登記に基づく電子証明書」が発行されました。これらは、行政措置の執行や民間における契約関係を結ぶ「甲」と「乙」の組織の代表者等の個人を証明するものとして作られました。

 住民個人としてのIDは、住民票や「マイナンバー」として自治体に管理されています。電子証明書の入った「マイナンバーカード」の普及も進んでおり、世界的に見ても、PKI基盤のIDとして多くの人々に行きわたっている状況といえます。これが「公的個人認証(CA)」です。

<我が国の課題>

 下図は、日本政府の認証基盤の全体像となります。日本政府の認証基盤は、電子署名法の認定を受けた民間認証局との相互認証は認めていますが、一般の民間ブリッジ認証基盤との相互認証を認めていません。加えて、電子署名法は、企業属性を持つ個人の電子証明書や認証用途の電子証明書を認定していません。

日本政府の認証基盤の全体像(出典:エヴァアビエーション)

 さらに欧米では、どの組織に属する人か?という観点の認証が中心となっており、我が国のものとはポリシーが異なっています。

 米国の官(政府職員)のアイデンティティといえば、「PIVPersonal Identification Verification」です。これは連邦政府職員個人に付与される身分証明書です。一方、我が国の「官職証明」はそのポスト(官職)の証明であって、担当者個人は特定しないという考えのもと、個人を表してはいません。

 ID管理のハイレベルな要件の場合、たいていのケースでどの会社/組織に所属する人か?といった「属性を持つ個人の証明」が求められます。いくら個人としてのアイデンティティが変わってなくても、会社を退職してからもその会社や顧客のシステムにアクセスして良いわけはありません。

 つまり、我が国には「会社/組織」とそれに所属する「個人」の関係をアイデンティティとして証明する、国家制度としてのしくみが無いのです。

 安全保障系のシステムでは、その形でのID認証が求められるため、安全保障関係においては特に、政府・民間組織共に対応する必要性を強く感じています。

 このようなポリシーの違いがあるため、例えば、米国Exostar社のサービスを利用するには、直接Exostar社からIDを発行してもらうという従属的な方法以外に、相互にID連携が出来る基盤は我が国にはありません。つまり、日本人である私達のアイデンティティも外国に管理される状態とならざるをえないわけです。そのことは、米国は同盟国であるとはいえ、決して安全保障の観点からも、望ましい形ではありません。

<まとめ>

 以上のことから今後整備すべきポイントは、まず第1に「欧米の国際規格と相互運用性のある、我が国の体系的なアイデンティティ管理のガイドライン」を作ることだと考えます。内容的にはICAMやNIST SP 800-63と同じ内容としてもかまわないでしょう。一刻も早く、我が国のガイドラインとして基準を示すことです。

 第2に、米国のPIVと我が国の政府職員の電子認証を相互連携することです。現状でも職員カードを発行管理しているわけですから、PIVに相当するポリシーで電子証明書を発行管理すれば良いだけの事で、システム構築はそれほど難しくないはずです。

 第3が、民側においても「組織の従業員」という電子認証を行うことです。ここでは、個人の身元確認とともに、組織の認証およびその組織に属していることの確認が必要であるということになります。

 組織については、法人登記単位で良いのか、米国国防総省やNATOで使われているCAGE(Commercial and Government Entity)のように事業所単位が良いのかなど、議論も必要だと考えます。数年前から、防衛省(防衛装備庁)においてCAGEコードの発行管理を行うようになったので、安全保障関係ではCAGEを使うのが国際的な連携の観点からは適しているのかもしれません。

 こういった3つの基盤整備(ルール作り)を横断的に行った上で、例えば今後構築が想定される「防衛および安全保障関連業界のシステム」におけるID管理を、官民で統一されたルール(ポリシー)で行える態勢構築などが必要です。業務効率化の観点から、ゆくゆくは官民共同でIDを管理運用するような組織を作ることも、国際的な相互連携のために不可欠であると言えます。

 その結果、下図のような「欧―日―米」をつなぐ国際的な相互承認のしくみ(デジタル庁での議論)の実現に近づけることになると考えています。

カテゴリー
Evaコラム

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA


前の記事
Evaコラム:空港のセキュリティ
2022年11月1日
次の記事
英国のロジスティックサポート最新動向 など
2023年2月6日