Receptとサイバートラスト、eシールを活用してVerifiable Credentials(デジタル証明書)の信頼性向上を実証
〜 Recept 「proovy」とサイバートラスト「iTrust eシール用証明書」のサービス連携により、Verifiable Credentials 発行元の実在性と真正性を証明可能に 〜
2024年11月22日
株式会社Recept
サイバートラスト株式会社
株式会社Recept(本社:東京都渋谷区、代表取締役社長:中瀬 将健 以下、Recept)とサイバートラスト株式会社(本社:東京都港区、代表取締役社長:北村 裕司 以下、サイバートラスト)は、Receptが提供する分散型ID/デジタル証明書(DID※1 /VC※2 )技術基盤「proovy」と、サイバートラストが提供する「iTrust eシール用証明書」を活用した実証実験を実施いたしました。本実証実験では、VCの発行者の実在性や真正性を保証して、VCを活用するエコシステム全体のセキュリティと信頼性を向上させるスキームを検証しました。
背景
DID/VC技術は、その使いやすさや高い信頼性から、教育機関や公的機関、金融、医療など多様なシーンで注目されています。これらの技術は、デジタルアイデンティティの管理や資格情報の検証を効率化し、今後の普及が見込まれています。
しかし、VC発行者の実在性や真正性(発行者が本物であること、架空の組織や偽物ではないこと)を保証することが課題となっています。不正なVCが発行され、VCの受取人がそれを見抜けない場合、エコシステム全体の信頼性が損なわれるリスクがあります。これに対処するため、VC発行の信頼性を担保するシステム構築が求められていました。
実証実験の目的
本実証実験では、VC発行の透明性や信頼性を強化することを目的とし、サイバートラストが提供する「iTrust eシール用証明書」によるVC発行者認証を行い、Recept 「proovy」において VC への eシール(発行証明)の付与とeシール用証明書の格納を実現しました。
eシールは、電子データを発行する組織の身元を証明し、データの非改ざんを確認できるデジタル署名技術の一つです。サイバートラストの iTrust eシール用証明書は、Adobe社認定トラストリスト(AATL)※3 やMicrosoftルート証明書プログラムに登録されたパブリックルート認証局下に、一般財団法人日本情報経済社会推進協会(JIPDEC)※4 のトラステッド・サービス登録 ※5 (認証局)を取得した認証局から発行されます。サイバートラストが厳格に審査した組織のみに提供されるため、VCの発行元である組織の実在性や真正性をパブリックに証明することができます。
今後について
今後も、Recept とサイバートラストは、それぞれの強みを活かしDID/VCエコシステムをより使いやすく、実用性や信頼性をさらに向上させる取り組みを継続してまいります。具体的には、有効期間管理や鍵・eシール用証明書の更新の運用、ブロックチェーンやゼロ知識証明※6 、タイムスタンプなどを用いた VCの永続性の検討など、さまざまな利用シーンに寄り添ったソリューションを開発してまいります。
使用された製品について
Receptが提供する「proovy」は、DID/VCを活用したデジタル証明書の発行・管理を行う技術基盤です。企業や団体向けにVCの発行・検証基盤を提供するとともに、ユーザーがVCを管理できるデジタルウォレットアプリも展開しています。「proovy」は、EBSI(European Blockchain Services Infrastructure)の国際認証をアジアで二番目に取得しており、教育機関や資格発行団体などに公式アプリとして導入されています。
- 関連Webサイト:https://proovy.jp
iTrust e シール用証明書は、サイバートラストが厳格に審査した組織のみに向けて発行する「eシール用電子証明書」を活用し、組織が発行した電子データに e シールを付与することで、発行元の証明と改ざん対策が可能で、電子データに高い信頼性と真正性を確保することができます。
※1 DID (Decentralized Identifier) とは、分散型デジタルIDを実現するための識別子。デジタルIDによって、ユーザーは自身のアイデンティティをデジタル空間で安全かつ主体的に管理することができる。関連する資格情報は、自らが管理するデジタルウォレットに保管され、選択的な情報開示が可能となる。ユーザー中心の分散型管理により、組織や国境を越えたデジタルIDの相互運用性が向上し、より柔軟で安全なデジタルアイデンティティエコシステムの実現が期待されている。
※2 VC(Verifiable Credentials)とは:検証可能なデジタル証明書。個人が自分の資格情報などを安全に管理し、提示先に必要な情報のみを選択的に提示することも可能。受け手はその真偽を簡単に検証でき、デジタル環境での安全な身分証明などが実現される。
※3 AATLとは:「Adobe Approved Trust List」として、Adobe社が求める要件をクリアした電子認証局のリスト。AATLに登録されたパブリックな電子認証局から発行されるデジタル署名用の電子証明書により、法人(組織)名、住所、署名者の肩書(または所属部署)、署名者の氏名について電子署名の有効性を検証でき、 本人が署名し改ざんされていないことの確認が可能。
※4 JIPDECとは:安心安全な情報利活用環境の構築を目的に、プライバシーマーク制度の運営、電子証明書を発行する認証局等の信頼性を評価するトラストサービス評価事業、情報の保護と活用に関する調査研究・政策提言、電子署名法に基づく特定認証業務の調査、ISMS等情報マネジメントシステムの普及啓発などを行う団体。
※5 JIPDEC トラステッド・サービス登録(認証局)とは:インターネット上のサービスを第三者機関である JIPDEC が安全なサービスであることを確認し、信頼性(トラスト)を担保する仕組み。
※6 ゼロ知識証明とは:ゼロ知識証明は、証明者と検証者と呼ばれる二者の間で行われる暗号プロトコルで、その情報の真実性を証明しながら、詳細情報を公開せずに正確性を証明する手法。
会社情報
株式会社Receptについて
Receptは2023年に創業し、デジタルアイデンティティ管理の先端技術「DID/VC」を専門に取り扱っております。DID/VCはデジタル証明書におけるスタンダード技術となりつつあり、欧米を中心に広く活用が進んでいます。日本でもコロナワクチンの接種証明書やマイナンバーカード機能のスマートフォン搭載で活用されており、今後の普及が見込まれます。
当社はヨーロッパで制定された国際標準規格に準拠した技術基盤を開発しており、この基盤を他事業者が保有するアセットとかけ合わせ、より便利で安全なデジタル社会を生み出します。
サイバートラスト株式会社について
サイバートラストは、日本初の商用電子認証局として25年以上にわたり提供している認証・セキュリティサービスと、ミラクル・リナックスのカーネル技術やオープンソースソフトウェア(OSS)の知見を応用したオンプレミス、クラウド、組込み領域向けのLinux/OSSサービスを展開しています。また、これらの技術や実績を組み合わせ、IoTをはじめとする先端分野に向けて、「ヒト・モノ・コト」の正しさを証明し、お客様のサービスの信頼性を支えるサービスを推進しています。
「すべてのヒト、モノ、コトに信頼を」。サイバートラストは、ITインフラに関わる専門性・中立性の高い技術で、安心・安全な社会を実現します。
本プレスリリースに記載されている会社名、製品名、サービス名は、当社または各社、各団体の商標もしくは登録商標です。
<参考情報>
実証内容
本実証実験では、eシールの導入において、以下の三つの内容を中心に検証を行いました。
1. VC発行者へのeシール用証明書の発行
VC発行者の秘密鍵に相対する eシール用証明書を発行し、両技術を連携して用いることが可能か、技術面を含め、検証を行いました。eシール用証明書は、今回実証では VC発行者役となった Recept に対し、サイバートラストの iTrust認証局から以下のプロセスで発行されました。
- VC発行者である Recept において、VC発行用の秘密鍵が HSM(Hardware Security Module)※1 で管理されていることを認証局として確認
- VC発行者である Recept は、eシール用証明書発行を認証局に対して申請、iTrust 認証局は、Recept の登記簿を確認する等、申請者の実在性と真正性を自らの CP/CPS※2 に従って審査・確認
- 別途、Recept は、Recept の技術基盤上のHSM内で、VC発行用の秘密鍵を用いて証明書署名要求(CSR)を作成し、認証局に申請。iTrust認証局において、CSR内のVC発行者情報等も確認の上、eシール用証明書を発行。Recept は、発行された証明書をReceptの技術基盤に取り込み
本実証実験では、具体的には、ECC_NIST_P256で生成された秘密鍵に基づいて、サイバートラストが Recept に対し eシール用証明書を発行しています。上記により、VCとeシール用証明書に関わる技術を連携して用いることが可能であることが実際に確認されました。
2. VC内にeシール用証明書を格納するためのベストプラクティスの調査・検証
VC 受取人が、受け取った VC の発行者の真正性を eシールの仕組みを用いて確認するには、VC内に、eシールの検証で用いる eシール用証明書が含まれていること、または、受取人が同証明書にアクセス可能であることが必要となります。本実証実験では、VC 内にeシール用証明書を格納する方法について調査・検証を行いました。具体的には、Recept が現在採用している二つのVCフォーマットのそれぞれについて、以下のプロパティへの証明書情報格納を確認しました。
- JSON-LD:proofオブジェクトのx5cプロパティにeシール情報を格納
- SD-JWT: JWTヘッダーのx5cプロパティにeシール情報を格納
上記において、いずれの格納方法でも適正に証明書情報を格納し、受取人に受け渡せることを確認しました。
3. eシールが付与されたVCの発行
本実証実験として、最終的に Recept は、eシールが付与された 「proovy 公式パートナー証明書VC」 の発行を行い、同 VC は、Recept が提供するユーザー用デジタルウォレットに格納されました。
また、VCの提示を受けた受取人は、従来同様に VC自体の有効性や信頼性を確認するのみならず、そのVCの発行者の真正性や実在性を eシールの仕組みによって検証できることが確認されました。eシールの検証では、eシール用証明書の失効確認を行うことで、VC発行者の秘密鍵の危殆化など、VC発行者として有効ではない状態か等も検証可能であることも確認されました。
以上の本実証実験により、VCを活用するエコシステム全体のセキュリティと信頼性を向上させるスキームの検証ができたと考えます。
※1 HSM(Hardware Security Module)とは:Hardware Security Moduleという安全な機器で、秘密鍵をHSMに保管し不正に外部にコピーされない対策を行ったうえで、電子証明書を契約者本人以外が利用できないような厳格な認証を行い、クラウド上で電子署名することができる。
※2 CP/CPSとは:Certificate Policy(運用方針)/Certification Practices Statement(運用規程)。認証局の運用方式や信頼性・安全性を対外的に示す文書のこと。CPは認証局が電子証明書を発行する際の運用方針を定めた証明書ポリシーで、CPSは認証局の運用や鍵の生成・管理、責任など、実施手順を定めた認証局運用規程。