概要
さて。いよいよ「署名保証ガイドライン第1.00版(JNSA SAG-1:2026)」の2.3.章にて、4つの署名保証レベル(SxAL)である、署名者身元保証レベル(SIAL)・署名プロセス保証レベル(SPAL)・署名データ保証レベル(SDAL)・サービス運用保証レベル(SOAL)を説明します。最初の3つ(SIAL/SPAL/SDAL)は、2.1 署名サービスの基本モデルで説明をした、登録フェーズ・署名フェーズ・検証フェーズに対応しています。最後のSOALは署名サービス全体の運用の保証レベルであり、ある意味ガバナンス保証のレベルとなります。
| 署名要件 | フェーズ | 保証レベル |
|---|---|---|
| 署名者身元保証 | 登録 | SIAL:署名者身元保証レベル Signer Identity Assurance Level |
| 署名プロセス保証 | 署名 | SPAL:署名プロセス保証レベル Signing Process Assurance Level |
| 署名データ保証 | 検証 | SDAL:署名データ保証レベル Signature Data Assurance Level |
| サービス運用保証 | 全体 | SOAL:サービス運用保証レベル Service Operation Assurance Level |
少し見方を変えると、SIALがアイデンティティを、SPALがプロセスを、SDALがデータを、保証することになります。SOALはガバナンスでしょうか。NIST SP 800-63の3つの保証レベルIAL/AAL/FALのうち、IALがSIALに、AALがSPALに該当します。
| SxAL | 保証レベル | 対象 | SP 800-63 |
|---|---|---|---|
| SIAL | 署名者身元保証レベル | アイデンティティの保証 | IAL |
| SPAL | 署名プロセス保証レベル | プロセスの保証 | AAL |
| SDAL | 署名データ保証レベル | データの保証 | --- |
| SOAL | サービス運用保証レベル | ガバナンスの保証 | --- |
それでは具体的にそれぞれの保証レベルを見て行きましょう。
2.3.1. SIAL:署名者身元保証レベル
| レベル | 概要 |
|---|---|
| SIAL1 |
厳格ではない身元属性の確認 公的・信頼できる情報源で属性をチェックし、大量の自動登録や雑ななりすましを主に防ぐ。(厳格な身元属性情報を要求しない。) |
| SIAL2 |
厳格な身元属性の確認 申請者が提出した顔写真付きの信頼された身元属性で確認し実在性を確かめること、SIAL1よりも厳格な身元確認を要求する。証拠の偽造・盗難や標的型のなりすまし攻撃にもある程度耐える。 |
| SIAL3 |
SIAL2に加えICチップと訓練済み担当者による確認 申請者が提出したICチップ付きの信頼された身元属性を、訓練された担当者が対面または対面同等のリモート環境にて少なくとも一つの生体情報も取得して確認し実在性を確かめる最も厳格なレベル。高額取引や高リスク操作を想定し、高度な証拠偽造や巧妙な社会工学的攻撃にも耐えることを狙う。 |
正直を言えばSIALは、ほぼほぼNIST SP 800-63-4のIALと同等です。その日本版であるDS-511と比較しても大きな差異は無いはずです。ですのでここでは詳しく解説しません。
2.3.2. SPAL:署名プロセス保証レベル
| レベル | 概要 |
|---|---|
| SPAL1 |
1要素の当人認証 署名時の当人認証を1要素認証でおこない、内容を確認して署名付与する。 |
| SPAL2 |
2要素の当人認証とFIPSモードの暗号利用が必要 当人認証を2要素認証でおこないFIPSモードの暗号利用が必要とする。 |
| SPAL3 |
SPAL2に加えてフィッシング耐性が必要 当人認証をフィッシング攻撃にも耐えられる2要素認証でおこなう。 |
SPALは署名プロセスの保証、つまりは署名がどのようにおこなわれたのかの保証レベルです。オンラインの場合には当人認証により身元確認済みの当人であることを確認することになります。その意味ではNIST SP 800-63-4のAALに近いと言えます。ただSP 800-63が当人認証の保証であるのに対して、SPALでは署名認可の保証である点が異なります。署名認可の場合には署名対象の確認と認可操作(署名ボタンクリック等)の2つが必要です。認可操作は結局のところ認証技術(IDとパスワード等の認証要素の確認)となりますので、ほぼほぼAALとSPALは同じ内容となります。
NISP SP 800-63-4 のAALと異なる点としては、SPAL2においてはフィッシング耐性のある認証方式のオプション提供までは求めていません。あくまで2要素認証を求めているに留めています。この辺りは将来的には変更されるかもしれませんが、現時点ではフィッシング耐性までを求めるのは厳しすぎるとの判断です。
2.3.3. SDAL:署名データ保証レベル
| レベル | 概要 |
|---|---|
| SDAL1 |
事業者より提供される検証可能な証拠と時刻(ログ等) 事業者から何らかの署名者の本人の意思(承認)と非改ざんに関する、第三者による検証が可能な署名データ(属性情報)が提供できること、および何らかの署名時刻も提供できること。 |
| SDAL2 |
手順に従った第三者による検証可能な証拠と時刻 標準化または事前に定められた検証手順に従うことで署名者の本人の意思(承認)と非改ざんの第三者による確認が可能な署名データ(属性情報)が提供できること。および信頼された署名時刻が確認可能となること。 |
| SDAL3 |
SDAL2に加え信頼された第三者組織による保証 SDAL2に加えて本人性と署名時刻に対して信頼された第三者組織による保証があること。 |
さてSDALが実は電子署名から見た場合には最も大事な保証レベルと言えます。ただし電子署名の証拠自体の保証レベルではありません。あくまで署名データのフォーマットに対する検証の保証レベルです。また電子署名は過去時点での本人性の保証ですので署名時刻はとても重要な要件となります。ですのでSDALでは署名時刻についても要求しています。これはリアルタイムの世界で生きているID系の人から見ると奇異に映るようですが、電子署名では重要と考えています。
検証で大事になるのは事前に設定された検証手順です。第三者が誰でもその手順に従えば本人性と非改ざんが確認できないと電子署名とは言えません。その意味ではSDAL1は何らかの記録で良いのでかなり低いレベルです。SDAL2からは手順に従った第三者による検証可能な証拠と時刻と言うことで、正直を言えば電子署名と呼ぶべきはSDAL2からでは無いかと考えています。SDAL2では事業者自身の保証で良いのですが、SDAL3では第三者組織による保証までを求めます。
2.3.4. SOAL:サービス運用保証レベル
| レベル | 概要 |
|---|---|
| SOAL1 |
何らかの運用基準の文書化と順守 署名サービスが提供している登録・署名・検証等について運用基準を定めて(文書化して)順守している。 |
| SOAL2 |
運用基準の文書化と公開、廃業時の保証 署名サービスが提供している登録・署名・検証等について運用基準を定め、文書として公開等(公開、開示または通知)した上で順守し、また署名サービスの廃業時に保証が継続できる対応の必要がある。 |
| SOAL3 |
SOAL2に加え標準化された運用基準と第三者による保証 SOAL2に加えて、標準化された運用基準の公開をおこない、信頼された第三者組織の認定や監査を受けている。 |
SAG-1:2026は署名サービスを対象としています。利用者がサービスを信頼するためには正しいガバナンスがあり適切な運用が必要です。SOALはそれを運用規定として求めています。これはローカル署名のCP/CPS(認証実施規定)から来ています。PKIベースのローカル署名の場合にはどのような仕様と運用になっているかをCP/CPSから読み取ることが可能です。これを他の署名方式にも求めるのがSOALです。
SOAL1は最低として運用規定の文書化と遵守を求めますが公開までは求めません。SOAL2になると運用規定の順守と公開を求めます。SOAL3では更に第三者組織による認定や監査を求めます。
正直を言えばSOALは署名サービスに限らない保証レベルだと考えています。どのようなオンラインのサービスでもガバナンスが大事ですので、運用規定の順守は必要です。PKIベースのローカル署名ではそれを認定制度等で守って来ましたが良いものは取り入れるべきでしょう。
おわりに
これが4年以上にわたってJNSAの電子署名WGの保証レベルTFで検討して来た結果です。まだ完全では無いかもしれませんし、時代が変われば基準も変わるでしょう。これをSAG-1:2026としているのは、今後SAG-2やSAG-3へのバージョンアップすることを想定しているからです。まずはどんなものであろうとも基準が無ければ分析ができません。その意味でまだ完成とは言えなくても公開することに意味があったと考えています。
さて次回は電子署名リスク管理(ESRM)の解説です。NISP SP 800-63-4もデジタル・アイデンティティ・リスク管理(DIRM)が書かれていますが、その電子署名版です。とは言えDIRMは具体的かつ複雑で理解も難しいので、ESRMでは全く違うアプローチで整理したものとなります。
署名保証ガイドライン解説シリーズ
| 章 | タイトル | 概要 |
|---|---|---|
| 0 | リリースしました! | 署名保証ガイドライン第1.00版の概要 |
| 1 | 電子署名(と電子認証)の要件 | 電子署名(電子認証)とは? |
| 2.1 | 署名サービスの基本モデル | 電子署名の基本モデルの定義 |
| 2.2 | 各種署名方式の整理 | ローカル署名と認証技術を使った様々な署名 |
| 2.3 | 電子署名の保証レベル | SxAL(SIAL/SPAL/SDAL/SOAL)の解説 |
| 3 | 電子署名のリスク管理(仮) | リスク管理と保証レベルの選択 |
| A | 適合宣言と情報公開(仮) | 信頼と情報公開 |
| B | 承認目的署名と発行元保証署名(仮) | eシール的署名とは |
| C | 電子委任(仮) | 委任状モデルと問合せモデル |
| D | トラスト設計(仮) | 署名と認証による設計 |