|
モデレーター: 黒田 聡 株式会社情報システムエンジニアリング
スピーカー1: 浮田徹 シュルンベルジェ 株式会社
スピーカー2: 山田英史 株式会社DIT
スピーカー3: 石井大介 エントラストジャパン株式会社
■Acrobatのセキュリティ機能(浮田さん)
Acrobatのセキュリティ機能の概要と電子署名という概念について紹介があった。
●暗号化とはデータに鍵をかけること
鍵には共通鍵方式と公開鍵秘密鍵方式がある。
共通鍵方式では、鍵と鍵のコピーのどちらでも鍵を開けられる。
公開鍵秘密鍵方式は公開鍵と秘密鍵という一対の鍵を利用する。
- 公開鍵で暗号化したデータを対応した秘密鍵で復号化
- 秘密鍵で暗号化したデータを対応した公開鍵で復号化
Acrobatは共通暗号鍵方式(鍵を持たない人は開けられない)を採用している。
●AcrobatのSecurity機能
Securityの情報は「ファイル」-「文書情報」-「セキュリティ」で確認できる。
・文書の保護(文書パスワード、Security Password)
・Security Option(印刷、文書の変更、テキストとグラフィックス選択、注釈とフォームフィールドの追加と変更)
・RSA Data Security社のRC4を使用したファイルの保護
・使用例
大蔵省の官報(http://kanpou.pb-mof.go.jp/)
印刷物として販売している関係上、印刷不可となっている。
●Securityの基本知識(Securityと電子署名)
・Securityの目的
見せないため、改ざんさせないため、不正に利用されないための権利の主張。
・電子署名の目的
文書の著者、承認者が誰であるかを証明するのが目的。中身を見せることにこだわ
りはない。
・電子署名とは
-電子署名は、電子的な社印、印鑑証明
-電子署名の正当性を判断するデジタルな公証役場(公的機関等の第三者)による
証明
・Acrobat4.0の電子署名機能
公開鍵秘密鍵方式を採用している。
1 秘密鍵、公開鍵を生成
2 秘密鍵でPDF文書に署名
3 公開鍵を相手に渡す
4 相手は公開鍵で署名を確認
改ざんされたらすぐにわかる。例えば、TouchUp Text機能を用いて改ざんした場合
、表示が出る。
・Acrobat4.0の電子署名の可能性
- 公証役場等の大がかりな仕組みなしで、一応の検証は行えるであろう。
- 面識のない人、インターネット環境の利用には不安がある。
公開鍵を提供する方法が自己申告制のため、相手をどこまで信用するかという問
題が生じる。
- イントラネットでも、あまり大きな事業所より、面識のあるレベルでの利用が妥
当と考える。
・Acrobat4.0の電子署名の利用方法の提案
-版管理
版が確定した段階で電子署名を入れていけば、版管理に利用できる。
第3版を第1版に戻すことが可能。
-人事処理的な用途
共通鍵サーバで個々人がデータを照合して確認する(住所変更届、勤務経路変更
届、等)
●まとめ(黒田さん)
Acrobatでは、セキュリティや認証を標準装備されている機能だけで使うことができる。
PDFが認証に使えるということが、あまり知られていないようなので、今回取り上げ
てみた。
■デジタル文書の安全な配布(山田さん)
●コンテンツそのもののセキュリティについて
・ドキュメントの配布方法
オンライン...Webによる発信、ファイルによる配布(PDF)
オフライン...CD-ROMによる配布(PDF)
・文書配布時の危険性
盗聴、なりすまし、改ざん、ファイルの不正コピー
防御策として、VPN(Virtual Private Network)やファイルに電子署名を付けたり
、暗号化することが行われている。しかし、データの漏洩の大半は内部から起こって
いることが多く、この場合はこの防衛策では効果がない。End to Endのセキュリティ
が必要となる。
●コンテンツセキュリティ製品 Authentica社のPageVault
ネットワーク上においてEnd to Endでやり取りする情報を「配信前」、「配信中」、
「配信後」全てのフェーズでダイナミックに保護するためのソリューションである。
・PageVaultの特徴
-PDFファイルを守る
ページ毎の暗号化、ページ単位のアクセス/ログ管理(アカウント/グループ/時間
帯/ネットワーク)、印刷およびキャプチャリングの制御
-配布後のドキュメントをコントロールする
リアルタイムにアクセスレベルの変更、旧バージョンのドキュメントの鍵を破棄
、不正に持ち出されたドキュメントファイルの鍵の破棄、印刷・画面キャプチャリン
グの制限、ページ毎のアクセスログ
・PageVaultの動作
Key Serverにポリシー(アクセス制限等の情報)を保存後、暗号化する。
暗号化した鍵はサーバが持っている。
利用者はサーバにアクセスし、鍵をダウンロードしてからファイルをポリシーに従
った形態で閲覧する。閲覧後は、ダウンロードした鍵は破棄されるので、オリジナル
の鍵はサーバにのみある形になる。なお、閲覧中は、常にサーバ接続をしている形に
なる。
・事例
-製造業/CPUメーカ ... 新製品開発に関する仕様書の配布・回収
-製薬会社 ... 新薬開発に関するデータの配布・回収、保管が義務付けられたドキ
ュメントの保存と期限管理
-病院 ... 電子カルテの閲覧、ログ管理
-金融・証券 ... 会社情報の公開(決まった時間から見えるように設定できる)
-コンサルティング会社 ... 顧客情報の保護
-行政 ... PDFは、アメリカを中心として共通フォーマットとして認められつつある。
・サードパーティとのリレーション
EDMS(Electronic Document Management System)やPKI(Public Key
Infrastructure)ベンダーと密な関係にある。スポートでお互いを信用する。
・Acrobat 4.0のセキュリティとの違い
Acrobat 4.0では、発行者の身元を保証したり、改ざんを検出する。
Page Vaultでは、ページをいかに守るか(閲覧の細かな設定ができる)、発行後の
ドキュメントコントロール等を行う。AcrobatとPageVaultはお互いに補完し合う関係
である。
●まとめ(黒田さん)
Acrobatだけを使ってもセキュリティ・認証をかなりのところまで行えるが、使い勝
手にまだ足りないところがある。パスワードの管理、ファイルの配布後の対策(回収
)、PDFファイルの閲覧により細かい設定をしたい等の疑問に見事に答えてくれるサ
ービスである。
■Entrust/PKIについて
●PKIとは
PKI(Public Key Infrastructure/公開鍵インフラ)とは、電子的な世界でのセキュ
リティ・認証をインフラ的にとらえようとした概念である。
2000年4月14日、国会に「電子署名ならびに認証法案」が提出され、2001年4月1日か
ら施行される。
これまでは、紙ベースで、実印(印鑑)を使い、市区町村等の自治体に登録している
印鑑証明書と実印との照合によって、トラブルがあった場合には民法で処理をしてい
た。新しくできた法律では、これを電子の世界に持ち込むことができるようになった
。トラブルがあった場合、民法で処理できるようになる。このようなこともあり、現
在注目されている。
●PKIの主な構成要素
認証局(CA)証明書発行、鍵の履歴管理、鍵のバックアップと復旧等がある。
電子署名は、有効期限が設定されているので、その有効期限になった時に鍵の更新を
したり、失効処理をする必要がある。これらの作業を個々に行うのではなく、統合的
に行うのがPKI。
●利用例
・自社内 ... 社員のファイルのアクセス、購買、入退出の管理
・対外サービス ... VeriSign社のようにPKIをベースに認証サービスをしているサー
ビスプロバイダというような事業の展開
・製品開発 ... VPNの機器に証明書を発行する等、製品販売に広がりを持たせたい
・Acrobatとの併用
製薬メーカや製造業など。Acrobatを利用し、電子署名後、何年か保存する。作業
履歴の管理等。
●PKIを使う目的
・企業内CA(Certificate Authority, 認証局)
証明書を発行するシステムと、それを登録するシステムを一企業内で持つ。
・サービスプロバイダとして
サービスプロバイダとして発行局だけ取り扱う。利用者(企業)は、登録局の役割
を担う。
サービスプロバイダは、証明書を発行して、利用者は、自社の社員や自分と取引す
るお客様に対して証明書を発行して利用する。
●スケールメリット
証明書を使うのが1500人以上いるのであれば、企業内CAという方法をとるメリット
がでる。
●PKIの主な機能
・メールの暗号化、復号化、電子署名
・Acrobat, Word, Excel等のアドインとしてファイルの暗号化、復号化
・一回のIDパスワードの入力で、どういったアプリケーションにも入っていける環境
の構築が可能
・VPNのデバイスに対して証明書の発行
・SSLを使ったWebソリューション
●PKIの今後
米国Microsot社と米国IBM社等がPKI Forum(http://www.pkiforum.org)を結成し、デ
ジタル署名等の幅広いアプリケーションのセキュリティを強化するためにPKIをベー
スにして協力する。
国内では、2000年4月、IT 15社で電子認証仕様を統一する動きがあった。現在は、電
子商取引推進協議会(ECOM、http://www.ecom.or.jp)に引き継がれている。
●まとめ(黒田さん)
行政関係の情報システムの中でPKIという概念は避けて通れないテーマになってきて
いる。
その中でAcrobat, PDFの世界から見て大切なことは、PDFは何の違和感もなく、こう
いった世界にも溶け込んでいくデータのフォーマットの1つだということである。
別のサービスを購入する必要はあるが、Acrobat標準の認証・セキュリティ機能以外
にEntrustのサービスと組み合わせて利用することもでき、本格的な認証・セキュリ
ティの世界でも利用されていくだろう。
通常、PDFは、印刷やコンテンツ制作にスポットがあてられることが多く、認証やセ
キュリティといった「情報を守る」とか「日本で使われている”帳票”(別セッショ
ンをご参照ください)」に関する世界でどうやって使われていくのかといったことが
あまり紹介されていないので、今回紹介させていただいた。
|
