電子証明書によるセキュリティの向上が流通BMSの安心・安全と普及を促進

2010.2.01

記事概要イメージ画像

 「流通ビジネスメッセージ標準(流通BMS)」の普及促進には、流通事業者が安心して信頼のできる取引を行えることが重要だ。この信頼性を確保するため、流通BMSで使用する通信プロトコルには、暗号化などのセキュリティ機能が搭載されているが、もう一つ大切な要素として、信頼性のある電子証明書の利用が必須となる。
 そこで今回は、昨年10月に流通BMS向けに電子証明書発行サービスを開始した日本ベリサイン IASプロダクトマーケティング部 アシスタントマネージャー 釜池聡太氏に、セキュリティサービスプロバイダという立場から流通BMSにおけるセキュリティ確保の重要性について聞いた。

  • 1

流通BMSがもたらす利便性と同時にセキュリティの確保は不可欠

日本ベリサイン株式会社 IAS製品本部 IASプロダクトマーケティング部 アシスタントマネージャー 釜池聡太 氏 昨年10月末、流通システム標準普及推進協議会の「基本形メッセージVer.1.3」リリースによってほぼ仕様が確定し、今後の普及促進に向けた環境が整った流通BMS。流通BMSによる取引では、スーパーマーケット、百貨店、ホームセンター、ドラッグストアといった小売店と各種の卸業者が、インターネットを通じて商品の受発注、価格、在庫数といった取引情報をはじめ、決済などの重要なデータをやり取りする。


 このデータ交換に利用する通信回線は、旧来の公衆回線や専用回線からインターネットに変わることで、通信コストの削減や通信速度の高速化といったメリットが生まれる。しかし同時に、従来のクローズドな通信環境に代わって、オープンなインターネット環境を利用することからセキュリティの確保は重要な課題といえる。


 「流通BMSの普及は、スーパー業界を始めとする小売業とその取引先企業の利便性を大きく高めることになりますが、こうして基盤が整う一方、流通BMSがさらに普及していくには、何より利用する各事業者が安心して信頼できる取引を行えることが重要です。これは一般のインターネットを利用するショッピングやB2Bの取引とまったく同じことが言えます」と釜池氏は強調する。

 

利用者の安心・安全を更に高める電子証明書

 もちろん、流通BMSにはあらかじめ利用者の安心・安全を確保するため、セキュリティの機能が盛り込まれている。流通BMSが採用する「ebXML」、「EDIINT AS2」、「JX手順」という3種類の通信プロトコルは、すべて通信の暗号化をサポート。ebXMLでは通信路セキュリティ機能としてSSL通信、XML暗号を、EDIINT AS2ではメッセージセキュリティ機能として、暗号化と署名をサポートし、JX手順もサーバ側に証明書をインストールすることによって、暗号化を実現している。こうした通信の暗号化などに使用し、流通BMSの安全性を高めるために重要な役割を果たすのが電子証明書で、サーバでは証明書の利用が必須となっている。


 電子証明書とは、相手の顔や実態が見えないインターネットの世界において、データ交換を行う際に接続するサーバやユーザ等の正当性を、証明書を発行する機関である認証局(CA=Certificate Authority)が発行した証明書によって担保するもの。すでに金融機関やインターネット販売を手掛ける企業を中心に、広く採用されている。


 流通BMSにおいては、商品マスタデータの同期化と流通BMSの通信を安全に行うために電子証明書を利用する。電子証明書の標準仕様は「流通業界共通認証局証明書ポリシー」で策定されており、ポリシーの適合確認を流通システム標準普及推進協議会が行っている。流通BMSを導入する企業は、仕様に適合した電子証明書を利用することで、取引間の相互認証や、通信メッセージへの署名/暗号化といったセキュリティの確保が可能となるのだ。


 「広く使われている認証方式としてIDとパスワードでの認証があります。しかし、パスワードは多くの利用者すべてが厳密な管理をする必要があり、流出する可能性も高いと言えます。実際、パスワード流出による不正アクセス被害はあとを立たず、銀行口座からの不正引き出し事件なども発生しています。流通BMSにおいても、クライアントの認証はID/パスワード方式を使うことが多いとは思いますが、悪意を持った第3者がパスワードを盗むことによってなりすましを行い、不正な受発注が行われてしまう恐れがあります」と釜池氏は問題点を指摘する。


 続けて釜池氏は、「こうした弱点を補い、より高い信頼性を確保するために不可欠なのが電子証明書です。電子証明書を使った認証では、ID/パスワードのような『知っていること』に加え、電子証明書を『持っていること』が担保される必要があるため、情報の不正取得によるなりすましに対して強いという特徴があります。電子証明書は認証・暗号化・電子署名・改ざん検知といった幅広い領域で、信頼性のあるセキュリティ対策として使われています。流通BMSにおいても、電子証明書を使っていただくことで、利用者の安心・安全をさらに高め、快適なBMS利用環境の実現に貢献できると考えています」と語る。

 

サーバやパソコンの正当性を保証し情報漏えいも防止

 「ベリサイン BMS証明書発行サービス」では、データ交換を行う際に接続するサーバやパソコンの正当性をベリサインが発行する電子証明書によって確認できる。データはSSLによって暗号化されており、通信経路の盗み見によって起きる情報漏えいも防止可能だ。また証明書を使ったクライアント認証を行うことで、なりすましも防げる。


 一般に証明書発行サービスは、多くのニーズに応えるため、サーバ用と個人用(クライアント用)をラインアップする。サーバ証明書とは、その企業のWebサイトの正当性および実在性を証明すると共に、クライアントとの暗号化通信に使用される。一方、クライアント証明書は、インターネット上での身分証明として認証強化に使われると共に、メールの署名・暗号化、データへの電子署名などに使用される。流通BMSにおいても同様に、サーバ用とクライアント用の電子証明書が提供される。


 ベリサインでは、BMS証明書発行サービスの販売は、EDIや流通BMSのソフトウェアの提供に実績のある販売パートナーを通じて行うという。

 

 

 「流通BMS製品のアプリケーション・ベンダー、システム販売や構築を行っている実績あるソリューションベンダーと広く連携することで、セキュリティ確保の大切さ、証明書の必要性を理解していただきたいと考えています。同時に、われわれもさまざまな機会を通じてセキュリティの大切さを訴えていきます。ベンダーとの連携によるトータルサポートを提供することで、特に小規模な流通・小売関連のお客様のスムースな流通BMSの導入、サービスを通じた安全な商取引を実現し、是非、流通BMSの普及促進を側面からサポートして行きたいですね」と話す。

  • 1