KPMGビジネスアシュアランスが電子署名の専門コンサルを開始

認証局監査から電子証明書運用法のコンサルティングまで

 2001.04.26−国際会計事務所を中心とする世界最大級のプロフェッショナルファームKPMG(クラインベルド・ピート・マーウィック・ゲーデラー)グループのKPMGビジネスアシュアランス(本社・東京都千代田区、浅井満社長)は、4月から電子署名法が施行されたことにともない、電子証明書を企業が利用するに際しての総合コンサルティングサービスを本格的に開始した。とくに、同社は同法制定に向けてのワーキンググループに参画してきた実績を持っており、とりわけ電子証明書の運用管理に関するテクニカル面も含めたなコンサルティングを行うノウハウを持つ機関がまだ少ないことから、早期に実績を積み、数年以内には事業体制を100名規模に拡大することにしている。

 電子署名法は、インターネット上などでやり取りされる電子文書を法的に正式なものと認めるため、eコマースやeビジネスの基盤を整備するものとして注目されている。その中で署名や押印の代わりになるのが“電子署名”で、現在はPKI(公開鍵基盤)と呼ばれる技術が主流。同法では、電子署名を適切に発行したり運用したりする業務を特定認証業務と規定しているが、電子署名を登録する際の本人確認を行う者が認証機関(認証局)となるため、実際にはeビジネスを行う各企業などが認証局としての認定を受けることになるという。

 KPMGビジネスアシュアランスが今回提供するサービスは、大きく認証局を対象とした監査と、電子証明書の利用方法に関するコンサルティングとに分かれる。ここ数年、PKIベンダーらと協力して認証ビジネスを行う企業向けにコンサルティングを行ってきた経験があり、これにシステム監査法人としての監査のノウハウを加える形で認証局向けの監査を行っていく。“監査”は、規準に基づいて合否を判定する“審査”とは異なり、改善に向けた助言などを行うことがメインになる。

 さて、実際に電子署名を使って暗号化された文書をやり取りする際には、まず発信者が名前と公開鍵(パブリックキー)、文書を認証局に提出する。認証局は本人であることを確認し、電子証明書を発行。発信者は署名ソフトと自分の秘密鍵(プライベートキー)を使って、電子署名を埋め込んだ電子文書を作成し、それを受信者側に送信する。同時に、認証局から電子証明書付きの公開鍵が送られてくる。受信者はそれらのキーと検証ソフトを用いて暗号化された文書を復号し、間違いなく発信者側から送られた文書であることを確認するという仕組みである。

 この時、電子署名を付された電子文書の発信者と受信者側には、電子署名をどのように扱うか、暗号化をどうするか、認証(アクセスコントロール)をどのように実施するかなどの技術的側面をともなう問題が発生する。それらのニーズにも運用面でのコンサルティングサービスを通して応えていくことにしている。とくに、この分野を得意とするコンサルティング会社はまだ少ないため、同社のサービスの差別化のポイントとして力を入れていく考えだ。

 スタッフとしては、IRM(インフォメーションリスクマネジメント)事業部内に経験を積んだコンサルタント約30名を擁してスタートし、数年以内には100名体制に強化する計画。企業のIT(情報技術)に関する総合リスクマネジメントの観点からも取り組みを進める。