電子申告再入門の続編3です。
電子申告はデジタル社会の「学校」
電子申告をすると、どうしても、付き合うことになる「電子証明書」。これが何だか考えてみた人は、おそらく少数派でしょう。電子申告で初めて知ったという人もいるはずです。私もその一人ですが、調べれば調べるほど、これはデジタル社会の基盤であり、インターネットが、日常生活の一部である現代社会では、最低限の知識は必要だと思うようになりました。
しかし先生は、いない
電子申告をやろうとすると「電子証明書」とつきあうことになるが、「必要」ということがわかるだけで、そもそも「電子証明書とは何?」、「どういうはたらきをするの?」という基本的なことを一般人向けに解説してくれるページは、ほとんどみあたりません。自分で勉強するしかなさそうです。先生はいません。
「無免許」で大丈夫か
自転車には、免許証はありません。しかし、最低限の交通法規を知らないと危険です。電子証明書にも同じことがいえます。免許証は不要としても、「自転車に乗る」程度の知識を身につけたほうがよいでしょう。せっかく電子申告をやるのですから、電子証明書について、勉強しながらやってみましょう。
電子申告に登場する電子証明書
ルート証明書
e-TAXでは、ソフトコナーに、WEB型ソフトと、ダウンロード型があります。WEB型は、WEB版とSP版があります。それぞれやり方は違いますが、ルート証明書のインストールが必要です。
ルート証明書について国税庁サイトでは「ルート証明書とは、証明書の発行元(認証局)の正当性を証明する証明書のことです。」と説明があり、その必要性については、「暗号化通信に利用するルート証明書のインストールが必要です。」とあります。
<参考>
電子署名用証明書
実際に申告データを送信するためには、電子署名が必要でそのためには、自分の電子証明書が必要です。
国税庁サイトでは「申告等データを送信する際には、そのデータについて、利用者の方本人が作成し、改ざんされていないことを確認するため、電子署名を行っていただいております。なお、電子署名を行うためには、事前に電子証明書を取得しておくとともに、利用される電子証明書がICカードに組み込まれている場合には、ICカードリーダライタ及びそれを使用するためのデバイスドライバが別途必要になります。」と説明しています。
<参考>
電子証明書が必要な理由
なぜ電子証明書が必要かといえば、インターネットには、「危険」があり、それ相応の対策が必要であり、その危険に電子証明書が有効だからです。
危険1、のぞき見
インターネットは、通信経路で、いろんなサーバーを経由する。のぞき見というより、オープンといったほうが適切かもしれない。申告データを誰かにみられてしまう。
危険2,改ざん
上記の理由で、悪意ある者に途中で改ざんされる危険性がある。
1万円の税額で申告したのに、10万円にかきかえられてしまう。
危険3、なりすまし
ホンモノのふりをしてだます。
申告データを送信したのに、別のサーバーに送信されている。
専門家でない私たちは、これらの危険に対処するための技術が「暗号技術」であり、そのツールが電子証明書であるという程度の理解でよいでしょう。
これだけは知っておきたい「暗号」のこと
インターネットを安全に利用するための基盤技術が「暗号」であり、その応用が電子証明書です。電子証明書を安全に正しく使うために、最低限のことは、知っておきましょう。
暗号とは
旧日本軍の暗号が解読されていたとか、第二次大戦中最強といわれたドイツのEnigma暗号機などのエピソードなどは耳にしたことがあるかもしれません。
暗号とは「敵」にわからないように「見方」に情報を伝える手段です。なお暗号理論では今でも「敵」という用語が使われているようです。
暗号文(暗号データ)を作成することを「暗号化」といい、それを元に戻すことを「復号」といいます。
インターネットで使われる暗号は「RSA暗号」です。従来の暗号は、暗号文を作成するのも解読するのも、共通の「鍵」を使っていましたが、RSA暗号は、対になる「秘密鍵」=暗号化に使う鍵と「公開鍵」=解読に使う二つの鍵を使います。
「鍵」とは、暗号文を作成に使うコード表のようなもの、いちばん簡単な例ではAをBに置きかえる(一文字ずらすと)いった約束事のことです。
RSA暗号の「鍵」は、数式を使って、コンピュータが計算するための「素材」のようなもので、パソコンでみると、単なる意味のない文字列です。鍵が違えば結果の暗号化データも全く違うものになります。
「共通鍵」方式と「公開鍵」方式
私たちが「暗号」と聞いて、理解できるのは「共通鍵」方式です。これは、発信者も受信者もお互いに同じコード表を使います。この方式だと「鍵」が洩れてしまえば敵にすべて解読されてしまいます。この方式の問題点は「鍵の受け渡し」にあります。「敵」の空間であるインターネットでは、「鍵」の受け渡しができないということです。しかし、コンピュータへの負担が少ない=計算が早くできる=ので、現在でも公開鍵方式と組合せて使われています。
現在使われているのは「公開鍵」方式です。この方式は、対になる「秘密鍵」と「公開鍵」を使います。秘密鍵を使って暗号化し、公開鍵で復号します。「公開鍵」は、その名のとおり、洩れても、いっこうにかまわないどころか、公開しないと役に立ちません。「公開鍵」は、インターネット空間でやりとりすることができます。
証明書とは「公開鍵証明書」
公開鍵が相手方に渡らないと、受信者は、暗号文の復号もできず、電子署名の検証(途中での改ざん有無)もできません。その他にも通信の安全のためにも「公開鍵」は、使われます。
電子証明書とは、「公開鍵」の証明書なのです。
電子証明書の項目
電子証明書をごく簡単にすると下記のようになっています。
<図1>電子証明書
項目 | 内容 |
発行者 | 証明書の発行者Bの表示 |
主体者 | 証明書の主体Aの名前等 |
公開鍵 | Aの公開鍵(証明の対象) |
署名 | 証明者Bの電子署名 |
この公開鍵の所有者が、Aであることを、Bが証明したものが電子証明書です。
もちろん「紙」ではなく、電子データファイルです。この証明書にはX.509という国際規格があります。現物はもっと多くの項目があります。
証明書はどこで使われるか
サーバー証明書として
いちばん身近にある証明書はサーバー証明書です。とても大切な役割を果たしているのですが、普段気にしません。
国税庁サイトのアドレスバーをみると「鍵」マークがあります。この「鍵」マークをクリックすると「安全な接続」と表示されます。ブラウザによって、違いますが、「詳細を表示」すると証明書を確認することができます。
<図2>サーバ証明書
中には、鍵マークが表示されないページもあります。これはサーバー証明書がないWEBページで、ブラウザによって違いますが「この接続は安全ではありません」または「保護されていない通信」と表示されます。
サーバー証明書が、SSL(正確にはTLS)というWEBサイトとそのサイトをみているユーザーとのやりとりを暗号化するために使われています。
http:// サーバー証明書がない
https:// サーバー証明書あり
とりあえず、これだけ覚えておけばよいでしょう。
証明書がない(鍵マークがない)WEBページに個人情報、特にカード情報などを書くのは危険です。
電子署名用証明書として
電子署名用証明書とは、公開鍵証明書のことです。電子署名は「秘密鍵」を使って行うので、署名には、「証明書」は不要です。証明書が必要なのは、受信者(受領者)であって、署名の検証に使います。「秘密鍵」が、「印鑑」であり、「証明書」は、「印鑑証明」のような役割です。
気になるマイナンバーカードの証明書
多くの人が電子申告の署名にはマイナンバーカードの証明書を使うと思います。マイナンバーカードには、二つ証明書が入っています。「署名用電子証明書」と「利用者証明用電子証明書」です。
e-TAXのログインに使うのが、利用者証明書で、電子署名に使うのが、署名用証明書です。
署名用電子証明書は、基本的に<図1>の構造をしています。証明書の発行者、証明者は「公的個人利用者認証局:JPKI」です。この証明書の信頼性が高いのは、自治体の窓口で本人確認をやっているからです。
自分の証明書は、JPKIクライアントソフトをインストールすると、確認することができます。ファイル出力もできますから、ぜひ一度やってみてください。自分の「公開鍵」をみることができます。
<参考>windowsの場合は下記
電子署名に使うのは「秘密鍵」で「証明書」とは別のものです。こちらは、見ることも書き出すこともできません。
ルート証明書について
電子申告をするためには、ルート証明書と中間証明書が必要です。
やり方は、簡単でリンクにあるEXEファイルをダウンロードして、実行するだけです。ルート証明書について国税庁サイトでは「ルート証明書とは、証明書の発行元(認証局)の正当性を証明する証明書のことです。」と説明があり、その必要性について、「暗号化通信に利用するルート証明書のインストールが必要です。」とあります。
「なるほど、必要なんだ」と思いますが、これで説明は十分なのでしょうか。
ルート証明書は「オレオレ証明書」
国税庁サイトでは、ルート証明書についての次の説明があります。
「ルート証明書とは、証明書の発行元(認証局)の正当性を証明する証明書のことです。」「e-Taxでは以下の認証局を信頼の基点としています。
・政府共用認証局(官職認証局)
・セコムパスポートfor WebSR3.0
利用者はe-Taxソフト等を利用するに当たり、上記の認証局を信頼の基点とすることに同意した上で、各認証局のルート証明書をパソコンにインストールする必要があります。」
<参考>https://www.e-tax.nta.go.jp/download/rootCertification.htm
この証明書は、暗号通信(SSL:TSL)通信に使われます。
<図3>ルート証明書
項目 | 内容 |
発行者 | 証明書の発行者Aの表示 |
主体者 | 証明書の主体Aの名前等 |
公開鍵 | Aの公開鍵(文字列) |
署名 | 証明者Aの電子署名 |
ご覧のとおり、ルート証明書は、自分の公開鍵を自分が証明しています。自己署名証明書です。
これが「信頼の起点」という意味です。
理屈から言えば、どんな証明書でも、規格に適合してさえいれば暗号通信は可能なはずです。しかし、これだけでは「なりすまし」を防ぐことができません。「安全な通信」は確保されていますが、なりすました「ニセサーバー」に送信しているという事態も起こりえます。
デジタル社会における「信頼」
ほとんどの人が実在の会社をかたる「荷物が届いています」などというメールやショートメッセージを受信した経験があると思います。電子文書(メールも含む)と、直接相手と対面しない(せずに済む)非対面(民法でいう隔地者)が、主となるデジタル社会では、「信頼」の問題を根本から考えて見る必要があります。
エンドツーエンド(あなたと私)
信頼できる方法でAさんの「公開鍵」さえ取得していれば、Aさんの秘密鍵で暗号化した文書やメールを読むことができます。Aさんの電子署名を検証することもできます。
信頼できる方法とは、USBメモリなどで、手渡ししてもらうなどです。
認証局の役割(あなたと私では限りがある)
エンドツーエンドが、有効なのは、知り合い同士、友達同士という、せまい関係の人が対象です。そこで、必要になるのが、電子証明書と認証局です。認証局はAさんの公開鍵が確かにAさんのものであることを証明する機関です。
<図3>認証局の証明書
項目 | 内容 | B証明書の検証にはBの公開鍵が必要。Bの公開鍵は信頼できるのかという次の問題が発生する。 |
発行者 | 発行者B認証局の表示 | |
主体者 | 証明の対象Aの表示 | |
公開鍵 | Aの公開鍵 | |
Bの署名 | 証明者B認証局の電子署名 |
上記は証明書の基本形です。証明書の用途が安全な通信(SSL)だとすれば、非対面であることは当然で、手渡しで証明書をやりとりすることは現実的ではありません。
また、B認証局のものとされる証明書は信頼してよいのかという問題が発生します。
そこで、B認証局の電子署名の正当性を保障するために、これを保障する機関Cが登場します。Bの電子署名の検証には、Cの公開鍵が必要です。ご推察のとおり、これでは終わりがありません。
絶対的に信頼できる証明書が必要
そこで登場するのが絶対的に信頼できる証明機関の証明書です。これは絶対的に信用するしかありません。それがルート証明書です。
なぜ絶対的に信頼できるのか、それは、パソコンを購入した時から、「信頼されたルート証明機関」として証明書ストアに入っているからです。ネット社会の信頼の起点とはなんなんだろうと考えてしまいます。
証明書をみてみる
Windowsであれば「証明書ストア」という場所に入っていますが、一回は確認してみてください。証明書をみる簡単な方法(あまり簡単ではないないかも)は、ブラウザから確認する方法です。
Edgeならば、メニュー「・・・」から、設定(歯車マーク)、「プライバシー」とすすむと「証明書の管理」があります。Chromeもメニュー、設定、プライバシー、セキュリティとすすむと「証明書の管理」があります。
その他に「Windowsシステムツール」→「コントロールパネル」→「ネットワークとインターネット」 →「インターネットオプション」で、証明書にたどり着きます。
<図4>ルート証明書
信頼されたルート証明機関タブがあります。「発行先」と「発行者」が同一になっていることが確認できます。これが「ルート証明書」です。
この中の「OfficialStatusCA」が、政府共用認証局です。さらに詳細をみることもできます。
<図5>証明書の詳細表示
ルート証明書をインストールするとは、信頼するということ
パソコンを購入した時点では、「信頼されたルート証明機関」には、「OfficialStatusCA」はいっていません。これを信頼したのは自分自身です。ルート証明書をインストールするとは、自分の責任で「信頼する」ということを意味します。
コメント(終わりに)
証明書や認証局、基礎となる暗号などは、難しくて、わからないことが、次々出てきます。また身近に先生はいません。ただ安全にネットを使いたいだけなのに。
自転車に免許証は不要ですが、最低限のルールを知らないと危険です。ネットも同じだと思います。欲しいのは「自転車にのるため必要」な程度の知識なのですが。
電子申告をやろうとすると、途中でつまずくこともあると思います。私は意外なところで、つまずきました。それは、「公的個人認証クライアントソフト」です。字が小さすぎて、全くクリックできません。
<図6>見えない公的個人認証クライアントソフト
原因はディスプレーの「解像度」にあることは、わかりましたが、今時これに対応していないことに、驚きました。改善を望みます。
下記サイトを参考に、ようやく見えるようになりました。お礼申し上げます。