表 1 ー 1 諸外国における不正アクセス禁止に係る法制化の状況 ( 警察庁資料「情報セキュリティ調査研究報告書」より転載 ) 不正アクセスを 国 ( 州 ) 名 制度の概要 禁止する法律名 〇単なる不正アクセス 連邦政府 連邦法 ( 1986 ) 年改正 を処罰 カリフォ カリフォルニア刑法典 ( 1984 年改正 ) ノレニア州 フロリダ フロリダ州法 〇単なる不正アクセス 州 ( 1784 年改正 ) を処罰 アリゾナ アリゾナ州法 ( 1984 年改正 ) 政 〇一定の意図によるコン バージニア州法 ヒ。ュータの不正使用を処 府ア州 ( 1984 年改正 ) テキサス テキサス州法 〇安全対策の侵害を要 州 ( 1985 年改正 ) 件として不正アクセス ニューヨーク州法 ニューヨ を処罰 ク州 ( 1986 年改正 ) コンヒ。ュ ータ不正使用 〇単なる不正アクセス 法 ( 1990 年制定 ) を処罰 〇単なる不正アクセスの ほか、不正にコンヒ。ュー 情報処理関連不正行為 タ・システムの中に留ま に関する 1998 年法 ることおよびこれらの未 遂、予備、共謀加担を処罰 〇安全対策の侵害を要 件として不正アクセス によるデータの探知を 〇営利・加害等一定の 目的で営業上の不正に 入手・利用・漏示等す る行為およびその未遂 を処罰 ( 入手とは、内 容を知ることを必要と しないため、目的があ れば単なるアクセスも 処罰の対象となり得る ) 〇単なる不正アクセス を処罰 英 国 フランス 旧西ドイツ刑法 ( 1986 年改正 ) 言 不正競争防止法 ( 1986 年改正 ) カナダ刑法 ( 1984 年改正 ) なし なし カナダ スイ ス 日 本 68
東京海上火災保険企業 ( 株 ) リスクコンサルティング室 プレジデント社 1995 年 7 月 21 日 東京海上火災保険 ( 株 ) 安全技術サービス部 『実践企業危機管理読本』 オーム社 1996 年 12 月 10 日 本位田正平、野口和彦 『そこが知りたい ! 危機管理』 東洋経済新報社 1995 年 11 月 30 日 278 今井秀樹 『暗号のおはなし』 電子情報通信学会 1986 年 ・小山謙二 池野信 『現代暗号理論』 ぎようせい 1997 年 9 月 15 日 佐々淳行 『危機管理』 中央経済社 1996 年 1 月 25 日 吉川英一 「マルチメディアと危機管理システム』
商事法務研究会 1994 年 「トランズアクション・セキュリティ 法とコンビュータ N013 1995 年 法とコンビュータ学会 その意義と問題点」 「 EDI 契約の実務上の留意点 ( 上 ) ( 中 ) ( 下 ) 」 「 E - Ma ⅱセキュリテイ』 商事法務研究会 1996 年 NBL584 号 ~ 586 号 カ武健次訳 1995 年 オーム社 「エレクトロニック 富士総合研究所 1996 年 4 月 コマースの現状と今後の行方』 「電子決済、電子現金とその利用環境整備に関する調査研究会」報告書 280 。ェスクロー電子現金 " 新日本 ITU 協会 1996 ITU ジャーナル , V 司 26 , No. 7, pp. 54 ー 62 " 電子決済について " 郵政省電気通信局 1996 年 4 月
第 4 章セキュリティ・リソースセンター 1993 年 日本規格協会 『インターネットビジネス』 高橋徹 1995 年 新紀元社 「 EDI による取引の法的諸問題」 NBL549 号 1994 年 商事法務研究会 「 EDI におけるデータの確定と契約の成立 ( 上 ) ( 中 ) ( 下 ) 」 NBL552 号 ~ 554 号 1994 年 商事法務研究会 「キャッシュカードの不正使用と銀行の免責」 林部實 金融法務事情 1433 号 NBL550 号、 551 号 「 EDI におけるトランズアクション・セキュリティ ( 上 ) ( 下 ) 」 日本銀行金融研究所 1996 年 日本銀行金融研究所ディスカッション・ペーノヾー・シリーズ 96- J ー 20 播本慶子 「米国におけるインターネットファイナンスを巡る動きについて」 室町正実 279
日経 BP 社 『情報技術革新と銀行業および決済システム』 鷹岡澄子・堤千絵 1997 年 3 月 慶応義塾大学湘南藤沢学会 「サイバートラストに 28 社が出資日本べリサイン株主も参加』 長谷川直樹 日経デジタルマネー・システム 1997 年 5 月号 日経 BP 社 日経 BP 社 「日経デジタルマネー・システム 1997 年 8 月号』 「デジタルマネーの主役たちビ 日経 BP 社 松本庸史 ハイテクベンチャ』 日経デジタルマネー・システム 1997 年 6 月号 日本の認証事業起こした 大蔵省金融制度調査会「電子マネー及び電子決済に関する懇談会報告書」 1997 年 5 月 http: 〃 www.mof.go.jp/tosin/ 通商産業省「電子商取引に関する検討課題について ( 電子商取引環境整備 研究会中間報告 ) 」 1996 年 4 月 http://www.ecom.or.jp/miti/ 電子商取引推進協議会「電子商取引の認証局運用ガイドライン ( アルファ 版 ) 」 276
第 2 章サイバービジネスと情報セキュリテイ人門 図 2 ー 2 旧 0 に登録されている暗号アルゴリズム アルゴリズム の公開の有 登録日 靆長とプロック長 共 通 鍵 プ ロ ッ ク 暗 号 そ の 他 アルゴリズム名 IDEA DES DM F Sk i ・ ack RC2 Symmetric 田 k Ci her MULT12 FEAL SXALIM BAL M ISTYI ENCRiP B-C t LUC Pub11c-Key C 「 t05Y5 旧れ & Di は謝 Si ature RC4 Syn 第れ e 【「に Stream Ci he 「 BARAS 公開 公開 非公聞 非公開 公開 公開 公開 非公聞 公開 非公開 非公開 1993 年 5 月 10 い 1994 年 9 月 5 日 1994 10 月 29 日 1994 年 10 月 31 日 1994 年 10 月 31 日 1992 年 8 月 19 日 1997 年 2 月 12 日 1996 年 11 月 27 い 1995 年 10 月 23 日 1994 11 月 14 Ⅱ 1994 年 11 月 14 日 1995 年 8 月 18 Ⅱ 1994 年 10 月 31 目 1994 年 7 月 20 Ⅱ 提案者・ ( 開発者 ) スイス・ A om ・ T h 社 ・日を製作所 米・ RSA Data Security 米・ NSA 米・ IBM ル 冢・ NCS2S (IBM ル ) フランス・ ETS126 米・ RSA Data Security Technol 社 LUC Enc 「 yptton ニューシーランド 英・ British T om 社 日・日本電気 日・三菱電機 ュント・システム汁 日・ローレル・インテリジ 128 bit 56 bit 40 bit 80 bit 可変 256 bit 128 bit 128 bit 64 bit 64 bit プいック長 64 bit 64 bit 64 bit 64 bit 64 blt 64 bit 64 bit 64 bit 64 bit ( ストリ - ームり・ ) ( 公開避暗号 ) ( ストリームり・ ) ( 詳細明 ) 系としては、あとで解説する DES : Data Encryption Standard ( データ暗号 化規格 ) や IDEA などがよく知られている。 公開鍵暗号体系では、個々のユーザはメッセージを暗号化し、解読する ために共通して使用可能な一組のキーを生成する。公開鍵のほうは、対応 する秘密鍵によって暗号化 ( 署名 ) されたメッセージを解読するために 広く出版され、使用されている。同様に、対応する秘密鍵を使用してのみ 暗号化されうる公開鍵により他のユーザはメッセージを解読することがで きる。 ューザーは、秘密鍵を他の誰かに開示しない。公開鍵暗号手法の例とし て、 RSA と DSS : Digital Signature Standard ( デジタル署名標準 ) があげ られる。この DES と RSA ともにアメリカ政府の規制対象となっている。日 本で使用できる DES や RSA は、安全性、処理速度、暗号としての寿命など 解決すべき問題点が多いとされている。 なお、共通鍵方式は IBM が開発した DES 、公開鍵方式は RSA データ・セ 103
や磁気ストライプカードより多くの情報を格納できること。さらに、廃棄 または再利用が可能であること、 IC チップ等のテクノロジーの進化の恩恵 が大きいことなどであろう。 ートカードと 日本では、スマートカード利用例としては、 98 年夏現在、以下の事例が でカードをレシーバーに近づけると通信が始まる。 接触式の場合は RF ラジオ周波数が使用され、ワイアドロジック回路使用 カードを差し込み、 IC チップとリーダーが接触し通信が始まる。また、非 接触式の場合、カード端末と呼ばれるカードリーダ ( 読み込み装置 ) に 料金決済などの目的で実装・発達している。 ト、健康保険証、ポイントカードなどが、そして非接触式には高速道路の あり、接触式には、銀行カード、クレジットカード、 ID カード、パスポー スマートカード ()C カード ) の種類には、接触式と非接触式の 2 種類が あげられる。 ・ 88 年 ・ 89 年 ・ 91 年 ・ 92 年 ・ 93 年 ・ 97 年 兵庫県五色町健康 IC カード ( 7 , 000 枚 ) 日産自動車カーライフ IC カード ( 70 万枚 ) 島根県出雲市総合福祉カード ( 1 万 2 , 000 枚 ) 京都市中京区西新道錦商店街エプロンカード ( 5 , 300 枚 ) 出光興産 MYDO カード ( 700 万枚 ) 神戸市スマートカードジャパン 三鷹市エレクトリックマーケットプレイス ・ JR 東日本乗車券のスマートカード実験 ・ N がテレホンカードの非接触型 IC カードを採用。スマートカード化 参考までに、現在のところスマートカード関連の規格は次のような規格 162 ・ ISO 7816 ・ OpenCard フレームワーク ・ PC/SC がある。 PC/SC は、 Win32API べースのプラットフォームからスマ
1996 年 10 月 1996 年 12 月 1993 年 4 月 1995 年 8 月 1996 年 5 月 暗号製品輸出 規制の緩和声 明 管轄の変更 表 2 ー 1 ・非公開の暗号アルゴリズムを組み込んだ半導 体チップの通信端末への設置を暗号利用の条 件としようとする政府構想 ・キーエスクロー ( 鍵寄託 ) システムの採用が ポイント。暗号鍵を 2 つに分けて政府の異な る機関が持ち、裁判所の令状に基づく解読を 可能とするもの。 ・暗号製品の輸出規制緩和策を伴う新たなキー ェスクロー構想。 ・キーエスクロー機関として民間機関を構想。 ・ KMI (Key Management lnfrastructure) 構想。 認証および秘匿の目的に利用可能な公開鍵暗 号のための鍵管理インフラの構築を目指すと いうもの。 ・鍵寄託機関 (Escrow Authority) による秘密 鍵の管理を認証機関への公開鍵寄託の前提と する。 ・キーリカバリーシステム (KRS) の開発を条 件とする暗号製品の輸出規制の緩和。 ・ 97 年 1 月から 2 年間を目途に暫定的に暗号製 品の輸出を認めるもの。 ・輸出規制の緩和に伴い、暗号製品の輸出許可 権限を国務省から商務省へ移管。 ( 出典 : 警察庁「情報セキュリティ調査研究報告」第 2 部より転載 ) うコンセプトに切り替えた点が重要である。これ以降、キーエスクロー という言葉はほとんど使われなくなり、一般にもキーリカバリーという表 現が用いられるようになる。 ( 4 ) 暗号製品の輸出規制緩和の動き このように 96 年の発表以来、キーリカバリー機能の搭載が可能となるよ うに技術開発、製造、販売することで商務省から承認を受ければ許可され るようになった。さらに、暗号装置のメーカーに暗号輸出のライセンスを 付与する制度が導入されることとなる。キーリカバリーでは、暗号通信利 用者の秘密鍵を復元 (recover) することができる鍵復元機関が設置され 124
第 2 章サイバービジネスと情報セキュリテイ人門 定した「銀行取引プロトコル VI. 0 」を採用する動きが広がりつつある。し かし、都銀、地銀、第二地銀、長信銀、信託銀など合わせて 56 行 ( 一部、 検討中を含む ) が前向きな姿勢を示したという。ただし、各行がいつから、 どういったサービスを提供するかなどは未定である。 現在、発行枚数 1300 万枚をほこる「出光 mydo ( まいど ) カード」は、 石油元売り大手の出光興産が提供している会員向け IC カードのサービスで ある。単体の企業が取り扱う IC カードとして日本はもとより世界的にも有 数な規模である。元々は顧客データやポイント管理のための IC カードだっ たが、 1998 年 1 月からは繰り返し入金が可能なプリペイドカード機能を追 加し、黎明期にある IC カード・マネーの実用化に先べんをつけている。 同社が全国共通の「 mydo カード」を展開し始めたのは 93 年のことだが、 カードは℃カード化し、記憶容量を上げることに成功している。そして 98 年 1 月から mydo カードにプリペイド機能を追加、出光は「電子プリカ」 と名付けている。 この電子プリカは、 mydo カードで築いてきた既存の IC カード・インフ ラを活用できるもので、従来の mydo カード会員は今までのカードをその まま使えるのが特徴である。 IC チップの空き領域にプリカ機能を加えるだ けのことだから、 SS で入金した時点から電子プリカ機能を持った myd 。カー ドとなる。 95 年のスマートカード発行枚数は全世界で年 5 億枚であった。 97 年には ( 4 ) スマートカード ( ℃カード ) とセキュリティ 161 カード ()C カード ) の利点は、磁気ストライプカードより信頼性が高いこと ドと呼ばれているが、日本では一般に IC カードと呼ばれている。スマート リーなどの半導体チップを組み込んだカードである。欧米でスマートカー スマートカードとは簡単に言えは、プラスチックカードに、 CPU 、メモ されている。 12 億枚、 2000 年には 35 億枚の発行枚数、同じく 250 億円の売り上げが予想
第 4 章セキュリティ・リソースセンター 「 FTP サーバ構築ガイド』 fUNIX インターネットサーバの構築』 オーム社 4 ー 900900-22 ー 2 1996 訳 Cricket Liu, Adrian Nye 加藤勝明訳、小川正夫 / 本多淳子監 日本経済新聞社 1996 年 11 月 岩村充 「電子マネー人門』 東洋経済新聞社 1996 年 10 月 磯部朝彦 ( 監 ) 『電子マネーとオープン・ネットワーク社会』 プレンティスホール出版 4 ー 931356 ー 31 ー 1 1996 George Eckel 森田進 275 ー・システム 1997 年 6 月号 日経デジタルマネ 角間和博 『米国先行の認証、 GTE とべリサインが技術提供』 講談社 1996 年 4 月 辻井重男 『暗号ポストモダンの情報セキュリテイ』