ITとビジネスの専門家によるコラム。経営、業種・業界、さまざまな切り口で、現場に生きる情報をお届けします。
第14回 トラストリストの仕組み
今回は、トラストリストという仕組みについて解説します。
トラストサービスは、なりすまし、改ざん、ねつ造、またそれらの可能性で否認されうるネット上での電子取引において、その不安を払拭し“安心して利用してね”というサービスです。
では、安心の裏付けはどのようなものでしょうか?
どのレベルのトラストサービスであることなのか、それが正しく提供されているものなのかを、利用する前に確認したいですよね。
それが、トラストリストです。
※英語では、Trusted Listです、第三者によって信頼されたということで、受動態(be trusted) です。利用者が、いつでも、どこからでも、そのサービスのレベルを確認することができるように、その基準が規定されて公開されているリストです。
トラストリスト
EUでは、2011年からトラストリストが運用されはじめましたが、今回eIDAS規則で改定整備されました。
eIDAS規則では、Article22にその規定が以下のように記載されています。
- EU加盟各国に対して、トラストリスト制定の義務付け
- リストの非改ざん性保証対策の義務付け
- 内容変更の遅滞の無いEU委員会への報告の義務付け
- 更新情報として各加盟国トラストリストのリスト(LOTL:List Of Trusted List)の公開をEU委員会に義務付け
- 2015年9月18日までに、技術規格とリストのフォーマットの制定をEU委員会に義務付け
加盟国ごとに、非改ざん対策を施したトラストリストを公開せよ!
そして、そのリストに掲載する基準は、EU委員会で統一して決めよ!
と、EU共通の法律として設定されたのです、これほど信頼できる仕組みはありませんよね。
まさにトラストアンカー(Trust Anchor※)です。
※Trust Anchor(トラストアンカー):信頼の錨、インターネットなどで行われる、 電子的な認証の手続きのために置かれる基点のこと(トラストポイントとも呼ぶ)。ここでいう認証の手続きとはアクセスしている通信相手が正しいことを確かめたり、電子データが途中で変更されずに正しい状態にあることを確かめたりすることを意味しています。
トラストリストの中身
ETSI TS 119 612 V2.1.1 (2015-07)の4章にトラストリストの構造が記載されています。(図1)
トラストリストはXMLフォーマットで発行されており、TSL Tagでトラストリストであることを定義し、スキーム情報部とサービスプロバイダー情報部があり、それら全体を署名対象としたXAdES方式のデジタル署名領域でひとつのトラストリストとなっています。
このXAdESで使用される電子署名は、各加盟国の機関が発行するものです。
スキーム情報と、サービスプロバイダー情報部の詳細を表に整理しました。
スキーム情報部にサービスの枠組、すなわち何の根拠でこのサービスが提供されているかが明記され、サービスプロバイダー情報部には個々の情報が詳細に記載されています。
トラストリストへの期待
ICT社会では、利用者はサービス検証を自ら計算をすることはなく、なにがしかの検証ソフトウェアを信頼することになります。
では、検証ソフトウェアは何をチェックして、検証すればよいでしょう?
それが、トラストアンカーである、トラストリストになります。
トラストリストに掲載されているサービスは、規約や検証基準が標準化されたものでなくてはなりません。なので、EUでの限定された領域内での仕組みですが、eIDAS規則のArticle22は、安心して電子取引を行うのにとても重要なのです。
現状のトラストリストは、利用者がサービスを受ける時点の確認には、過不足なく情報が網羅されています。
しかしながら、情報記録が古い場合、遠い将来に、遠い過去のサービスが、「そのときは、確かに信頼のおけるサービスとして提供されていたものであった」ということをこのトラストリストで確認できるでしょうか?
Trusted Listは、受動態のbe trustedであることも重要ですが、過去完了had been trusted を明確にする記録として利用したいですよね。
トラストリストはサービス履歴情報を持つことができるようになっていますが、将来の利用者が検証できるための情報をトレースできるでしょうか?
また、トラストリストそのものの継承にも課題があるかもしれません。
ともあれ、EUで始まっているトラストリストという考え方は、世界的に共有して、より良い仕組みに進化させていくものであると思います。
トラストリストの実態をリアルタイムに確認できる分析ツールが下記のURLです。
2016年10月25日時点で、29ヶ国で、QualifiedTSPは198サービスが提供されています。
EU Trust Service status List (TSL) Analysis Tool Webサイト
3回にわたって、EUの新しい動きeIDAS規則について解説しました。
取引の基本は、信用です。リアル社会では、各種関連情報収集、法律遵守、標準化、そして、対面、書面記録にて行われてきました。
ICT社会でも、取引の基本は信用であることに違いはありません。各種関連情報を正確に収集できる環境をつくり、法律を整備し、標準化を推進することで、非対面でも電子情報で信用を担保することが可能であることをeIDAS規則は実証しています。
いよいよ今年の7月から施行されました、いったいどのようなICT社会がEUで動きはじめ、新しいトラストサービスが展開されていくのか、目が離せませんね。
次回は12月6日(火)更新予定です。