// シス担のミカタ
セキュリティの基本概念

真正性 しんせいせい

認証デジタル署名電子証明書なりすまし防止本人確認PKI
真正性について教えて

簡単に言うとこんな感じ!

「その情報、本当に本物?」を確認する仕組みだよ!手紙に印鑑を押すみたいに、「確かにこの人が送った・作った」と証明できる状態のこと。なりすましや偽造を防ぐための概念なんだ!

真正性とは

真正性(Authenticity) とは、情報やデータが「本物である」「主張された発信元から確かに届いている」と確認・保証できる性質のことです。セキュリティの世界では、機密性完全性可用性(いわゆるCIA)に並ぶ重要な概念として位置づけられています。

たとえば、取引先から受け取ったメールや契約書が「本当にその相手から来たものか」「途中で別人がでっち上げたものでないか」を確かめられる状態が「真正性が担保されている」状態です。デジタルの世界では見た目だけでは本物か偽物かを判断しにくいため、技術的な仕組みによって真正性を保証する必要があります。

真正性が損なわれると、なりすまし・改ざん・フィッシング詐欺などのリスクが現実になります。発注システムや契約書のやり取りを行うビジネスの場では、「誰が送ったか」を確実に証明できる真正性の確保は、業務の信頼性そのものに直結します。

真正性を支える4つの要素

要素意味身近なたとえ
本人確認(Authentication)相手が名乗る通りの人物か確認することパスポートで本人確認
デジタル署名送信者の秘密鍵で署名し、公開鍵で検証する仕組み印鑑+印鑑証明書
電子証明書信頼できる第三者機関(認証局)が身元を保証する公証役場のお墨付き
タイムスタンプ特定の時刻にその内容が存在したことを証明する郵便の消印

覚え方:「ほんもの4兄弟」

人確認・ジタル署名・子証明書・イムスタンプ」→ 「ほんでんた(本電タ)」 で覚えよう!

真正性と似た概念の違い

概念意味するもの問いかけ
真正性送信者・作成者が本物であること「誰が作ったか?」
完全性データが改ざんされていないこと「内容が変わっていないか?」
機密性許可された人だけが見られること「第三者に見られていないか?」
否認防止後から「やっていない」と言えない状態「あとで言い逃れできないか?」

歴史と背景

  • 1970年代 — 暗号理論の発展とともに「公開鍵暗号」が登場。ホイットフィールド・ディフィーとマーティン・ヘルマンが発明し、デジタル署名の基礎が生まれる
  • 1988年 — ITU-T(国際電気通信連合)がX.509という電子証明書の標準規格を策定。真正性を技術的に担保する仕組みが国際標準化される
  • 1991年 — PGP(Pretty Good Privacy)が公開。メールの真正性・機密性を個人が扱えるレベルに
  • 1990年代後半 — インターネット普及にともない、なりすましやフィッシングが社会問題化。SSLなどによるウェブサイトの真正性確認が普及し始める
  • 2001年 — 日本で電子署名法が施行。電子文書の真正性が法的に認められるようになる
  • 2010年代〜 — クラウドサービスやAPI連携が急増し、OAuth・OpenID Connectなどの「誰がリクエストしているか」を確認する認証プロトコルが広く使われるようになる

真正性を保証する技術の全体像

真正性の保証には複数の技術が連携して機能しています。中心となるのが PKI(Public Key Infrastructure:公開鍵基盤) の仕組みです。

PKIによる真正性保証の仕組み 送信者(Alice) 秘密鍵で署名 受信者(Bob) 公開鍵で検証 デジタル署名 ハッシュ値+暗号化 認証局(CA) 電子証明書を発行 タイムスタンプ局 存在時刻を証明 ①署名 ②検証 ③証明書確認 ④時刻確認 送信者の正体+内容の改ざんなし+存在時刻 ✅ 真正性が保証された状態

デジタル署名の流れ(かんたん版)

【送信側】
  元データ → ハッシュ関数 → ハッシュ値

                         秘密鍵で暗号化

                          デジタル署名
  (元データ+デジタル署名)を送信

【受信側】
  受け取った元データ → ハッシュ関数 → ハッシュ値A
  受け取った署名 → 公開鍵で復号 ─────→ ハッシュ値B

  ハッシュ値A = ハッシュ値B → ✅ 真正性OK
  ハッシュ値A ≠ ハッシュ値B → ❌ 改ざん or なりすまし

実務でよく使われる真正性の技術

技術・仕組み用途の例担保するもの
TLS/SSL証明書HTTPSのウェブサイトサーバーが本物かどうか
S/MIME企業メールの署名・暗号化送信者の身元
電子署名(PDF等)契約書・請求書の電子化作成者の身元・改ざん検出
コードサイニングソフトウェアの配布開発元が正規かどうか
OAuth 2.0 / JWTAPI・アプリ連携リクエスト元が正規のアプリか

関連する規格・RFC

規格・RFC番号内容
RFC 5280X.509電子証明書とCRL(証明書失効リスト)のプロファイル
RFC 8017PKCS#1:RSA暗号標準(デジタル署名の基盤)
RFC 7515JSON Web Signature(JWS):APIやJWTで使われる署名形式
RFC 6749OAuth 2.0:アプリ・APIの認証フレームワーク

関連用語

  • 機密性 — データを許可された人だけが閲覧できる性質(CIAの「C」)
  • 完全性 — データが改ざんされていないことを保証する性質(CIAの「I」)
  • 可用性 — 必要なときにシステムやデータを使える状態を保つ性質(CIAの「A」)
  • デジタル署名 — 秘密鍵と公開鍵を使って送信者の身元と改ざんを検出する仕組み
  • PKI(公開鍵基盤) — 電子証明書と認証局による真正性保証の体系的な仕組み
  • 電子証明書 — 認証局が身元を保証するデジタルのID証明書
  • 認証 — 相手が本当に名乗り通りの人物・システムかを確認するプロセス
  • 否認防止 — 後から「やっていない」と言い逃れできないようにする仕組み