開発者に聞く

このコーナーでは、日立製作所の研究所等で研究・開発を行っている技術テーマを中心としたコラムをお届けします。 研究員にインタビューを行い、技術テーマ解説・開発過程におけるエピソードなどを交えてわかり易くご案内いたします。

情報開示と個人情報保護を両立させる「表計算ソフト向け墨塗り署名ツール」を開発

■ 幅広い用途で利用される「表計算ソフト」に墨塗り署名技術を適用

−　今回の技術は、以前に発表された「墨塗り電子署名技術」がベースとなっていると聞いています。そこでまずは基本技術のおさらいから始めていただけますか。
宮崎：　これまで電子署名を施した電子ファイルは、情報開示などの際に一部の秘匿したい情報のみを墨塗りしただけの「適切な変更」であっても、すべて“改ざん”とみなされていました。電子署名を付与した電子ファイルは、1ビットでも変更されると検証が成功しないよう設計されているからです。つまり、正しく作られ、正しく署名された文書に、正しく墨塗りしたものなのに、開示後はあたかも第三者が“ねつ造”した文書と同じようにしか見えない結果になってしまうわけですね。このため、公開された文書の「真正性保証」と、プライバシー情報などの「秘匿性保証」という2つの重要なセキュリティ要件を両立できず、どちらかをあきらめざるを得なかったのです。 　そこで日立は2003年、早稲田大学の岩村充教授などと共同で※1、電子署名した文書に墨塗りしても改ざんとみなされず、それ以外の変更がされていないことを検証できる「墨塗り署名技術」を開発しました。その後、スキャンした文書や画像などのJPEGデータ、あるいはXMLファイルに対応した墨塗り署名技術のプロトタイプを開発してきましたが、今回はそれを「表計算ソフト」にも対応させたわけです。
※1	日立製作所が、早稲田大学 岩村充教授、横浜国立大学 松本勉教授、東京電機大学 佐々木良一教授、電気通信大学 吉浦裕教授、東京大学 今井秀樹教授（当時）と共同で開発した。

−　なぜ「表計算ソフト」への対応が必要だと考えたのでしょうか。
本多：　私たちの部署では内部統制に対応した技術研究も行っていますが、米国SOX法対応の状況を現地でヒアリングした際、表計算ソフトを使った業務の統制が非常に難しいという声を多く聞きました。つまり、表計算ファイルの最終更新者はわかっても、その過程でだれがどのセルを変更したのかまではわからない。表計算ファイルのセル単位で真正性保証が行えないことが問題視されていたのです。 　日本でも、各種報告書や顧客リスト、財務データ、実験データなど、表計算ソフトで処理される業務が非常に多くなっていますので、ここに元データの「真正性保証」と「秘匿性保証」が両立できる墨塗り署名技術を適用すれば、1つのファイルを内部統制や情報開示、情報漏えい対策といった幅広い場面に適用できるのではないかと考えました（図1）。	図1 表計算ソフト向け墨塗り署名ツールのイメージ ※クリックして拡大図をご覧下さい
宮崎：　特に最近は、個人情報の扱いが非常にセンシティブになっていますから、以前のように監査や裁判の際に、「どの書類やデータも、すべて出してしまおう」といった風潮が変化しつつあります。監査や裁判に必要なものは当然きちんと出すけれども、それ以外の余計な情報は出さないでおこう、個人情報や関係のない数字の流出は防止しようという考え方が定着しつつあるんですね。例えば米国では民事訴訟の際、当事者に電子文書を証拠として開示させる「Eディスカバリー」という制度がありますが、訴える側が相手企業の内情やデータ管理のノウハウを探るため、あえて訴訟の内容と関係のない情報を見るために文書を請求するケースが多々あると聞いています。こうした際にも、裁判で必要な情報以外を墨塗りで消しながら、電子文書そのものの真正性を証明できれば、さまざまなリスクを低減しながら訴訟に専念することができます。

■ 墨塗り後も、開示文書の真正性を検証可能

−　電子署名を付与した後も、真正性を保証しながら墨塗りを可能とした仕組みを教えてください。
宮崎：　従来の電子署名技術は、電子ファイル全体の情報から1つのハッシュ値を計算し、暗号化による電子署名を生成するのが一般的でした。ハッシュ値とは暗号化によく使われる関数の出力値で、そこから元の入力データを逆算することが事実上不可能な性質を持つものです。今回の技術では、まず表計算ファイルの各セルごとに乱数を付与し、この乱数とセルの値を結合したデータのハッシュ値を生成し、ファイル全体の要約値を計算します。そしてこれを公開鍵暗号方式※2の秘密鍵で暗号化することによって電子署名を生成するのです。セルごとに付与した乱数は表計算シートに埋め込まれ、ファイルと一緒に保存、送付されます。 　このファイルをネットワーク経由などで受け取った側が公開鍵によって複号化できれば、それが確かに発信者が作成した正しいファイルだと確認することができるのです。 　では、電子署名を付与されてから一定期間が経過した後、この表計算ファイルの一部の情報のみを隠して公開したい場合はどうするか―その場合は削除したいセルに墨塗りすると、そのセルからデータと乱数が削除され、代わりに電子署名時に生成したハッシュ値が埋め込まれる仕組みになっています。もちろん、一度にいくつのセルを墨塗りしてもかまいません。結果として、墨塗り前に行った電子署名を復号化して得られる要約値と、墨塗り後の文書の要約値は同じになりますから、電子署名を検証すれば、それが間違いなく当初作られた表計算ファイルであることが証明されるのです（図2）
図2 墨塗り〜検証の流れ ※クリックして拡大図をご覧下さい
※2	公開鍵暗号方式：暗号化方式の一種。暗号化に使う鍵と復号に使う鍵が異なることが特長。秘匿性保持目的で利用する場合、暗号化は、公開鍵と呼ばれるだれもが知りうる鍵を使って行い、復号は、それと対になる秘密鍵と呼ばれる特定のユーザーのみが知る鍵を使用して行う。真正性保証目的で利用する場合（電子署名として利用する場合）は、特定ユーザーのみが知る秘密鍵を使ってメッセージ（またはそのハッシュ値）を暗号化し、署名を得る。この署名を検証する際は、秘密鍵と対になる公開鍵を使用して署名を復号し、署名とともに送られてきたメッセージ（またはそのハッシュ値）と比較を行う。
−　つまり、墨塗りしたセル以外のデータは途中で改ざんされていないという証になるわけですね。
宮崎：　はい。必要のない個人情報や数値などを適切に削除しながら、ファイル全体は正しい開示文書であることが証明できます。いうまでもないことですが、ここでの「墨塗り」は、単に黒く表示しているという意味ではありません。秘匿すべき情報は確実に削除されているため、情報漏えいの心配がまったくないのです。最近のワープロソフトやPDF作成ソフトでも、一部の情報を隠す「墨塗り機能」を備えたものが出始めています。しかしそれらは、情報を隠す機能としては十分なものの、電子署名による真正性保証とは両立できません。両方の機能を兼ね備え、さまざまな場面でセキュアかつ柔軟に活用できるのは、私たちが開発した技術ならではのアドバンテージだと考えています。

■ 情報漏えいを未然に防ぎ、さまざまな業務の効率化を支援

−　どのような活用シーンが考えられるでしょうか。

本多：　まずは官公庁や自治体、企業などでのセキュアな情報公開に、お役立ていただけると考えています。また、なによりも真正性が求められる監査資料や内部統制文書、裁判などの提出書類の作成時にも有効なツールとしてお使いいただけます。さらに企業間での情報共有やアウトソーソングビジネスなどで活用すれば、これまでのように、業務に直接関係のない機密情報や個人情報が入ったデータをそのまま渡すリスクが解消できます。オリジナルデータの真正性を保証しつつ、見せたくない情報のみを消して渡すことができるので、情報漏えいの心配のないコラボレーションや業務委託が可能となるのです。

−　情報漏えいリスクが低くなれば、情報そのものの管理コスト低減にもつながりますね。

本多：　そうですね。これまでは必要のあるなしに関わらず、個人情報も含めた情報を受け取り、管理する側には、それなりに厳格な管理体制が必要でした。しかし、必要最低限の情報のみが管理対象となるなら、セキュリティレベルが緩和でき、トータルなコスト低減と業務効率向上につながる可能性が高くなります。

−　今後の展開は。

宮崎：　これだけ電子ファイルやメールのやりとりが日常化している現在も、日本ではまだ電子署名を付与したり、ファイルの真正性を検証する習慣が意外と普及していません。最近、金融機関やポータルサイトなどを詐称したメールを使い、偽サイトへ誘導して暗証番号などを入力させるフィッシング詐欺が増加していますが、これもメールに電子署名機能を付与すれば防ぐことが可能です。こうした対策として電子署名の普及が促進すれば、必要な情報のみをセキュアに公開し、やりとりできる墨塗り署名技術は、日常的に活用される必須ツールとなるでしょう。その際に、あらゆるニーズに対応できる柔軟性の高い電子署名技術としてご活用いただけるよう、さらなる機能強化と適用範囲の拡大に取り組んでいきたいと思います。

−　期待しています。本日はどうもありがとうございました。

（次ページへ）

[ Back ]　2 / 3　[ Next ]