電子署名とは？ わかりやすく10分で解説

電子署名は、電子文書や申請データに対して、作成者・承認者の本人性と、署名後に内容が変更されていないことを確認するための仕組みです。紙の署名や押印を単純に画像へ置き換えるものではなく、公開鍵暗号、ハッシュ関数、電子証明書、認証局などを組み合わせて、デジタルデータの信頼性を検証できるようにします。

電子署名が担保しやすいのは、主に「誰が署名したか」と「署名後に改ざんされていないか」です。内容を第三者から隠す技術ではないため、秘匿が必要な場合は暗号化を別途組み合わせます。また、否認防止や法的な証拠力は、秘密鍵の管理、本人確認、証明書の有効性、ログ保存、失効確認といった運用に左右されます。

電子署名とは何か

電子署名は、電子データに対して署名者を結びつけ、署名後の変更を検知できるようにする技術・手続きの総称です。契約書、申請書、メール、ソフトウェア、帳票など、デジタルで扱う情報の信頼性を確認する場面で使われます。

電子署名の基本的な役割

電子署名は、主に次の役割を持ちます。

電子署名は、データの内容を隠すための技術ではありません。署名対象の内容を秘匿する場合は、ファイル暗号化や通信経路の暗号化などを別途設計します。

電子署名と情報セキュリティの関係

情報セキュリティでは、機密性、完全性、可用性が基本要素として扱われます。電子署名は、このうち特に完全性と本人性の確認に関わります。

契約書、申請書、請求書、ソフトウェア配布物などは、作成者が不明確だったり、途中で内容を書き換えられたりすると、取引や業務の前提が崩れます。電子署名を使うと、受け手は署名者とデータの変更有無を検証できるため、デジタル上のやり取りに証跡を残しやすくなります。

一方で、電子署名だけで情報セキュリティ全体を満たせるわけではありません。情報漏えい対策、アクセス制御、バックアップ、ログ監査、端末保護、証明書の失効確認などを組み合わせる必要があります。

電子署名と電子契約の違い

電子契約は、契約の作成、承認、締結、保管を電子的に行う業務プロセスを指します。電子署名は、その中で本人性や改ざん検知を支える技術要素の一つです。

電子契約サービスでは、電子署名に加えて、本人確認、ワークフロー、タイムスタンプ、保管、検索、監査ログなどが組み合わされることがあります。署名が付いているかだけでなく、誰がどの手順で承認し、どの証跡が残るかを確認する必要があります。

電子署名の仕組み

電子署名の中核は、公開鍵暗号、ハッシュ関数、電子証明書、認証局です。これらを組み合わせることで、署名者とデータの完全性を検証します。

公開鍵暗号方式と鍵ペア

電子署名では、一般に公開鍵暗号方式を使います。公開鍵暗号では、秘密鍵と公開鍵のペアを用います。

• 秘密鍵：署名を作成するために使う鍵。署名者だけが保有し、厳格に管理します。
• 公開鍵：署名を検証するために使う鍵。検証者に配布できます。

署名者は秘密鍵で署名を作成し、受け手は公開鍵で署名を検証します。秘密鍵が漏えいすると、第三者が署名者になりすまして署名できるおそれがあります。そのため、秘密鍵は電子署名運用で最も保護すべき情報です。

ハッシュ関数の役割

ハッシュ関数は、データから固定長の要約値を作る仕組みです。電子署名では、署名対象データそのものではなく、データから計算したハッシュ値に署名する方式が一般的です。

1. 署名対象データからハッシュ値を計算する
2. そのハッシュ値に対して秘密鍵で署名を作成する
3. 検証者は同じデータからハッシュ値を再計算する
4. 公開鍵で署名を検証し、再計算したハッシュ値と整合するかを確認する

データが1文字でも変更されると、再計算したハッシュ値が変わります。そのため、署名検証に失敗し、署名後の改ざんを検知できます。ただし、ハッシュ関数は秘匿の仕組みではありません。元データが見える状態であれば、第三者もハッシュ値を計算できます。

電子証明書とPKI

公開鍵だけでは、その公開鍵が誰のものかを判断できません。そこで使われるのが電子証明書です。電子証明書は、公開鍵と個人・組織などの主体を結びつけるためのデジタルな証明書です。

PKI（公開鍵基盤）では、認証局が本人確認や組織確認を行い、公開鍵と主体を結びつけた証明書を発行します。検証者は、証明書の発行者、有効期限、失効状況を確認し、署名に使われた公開鍵を信頼できるかを判断します。

電子証明書には、有効期限があります。また、秘密鍵の漏えい、退職、組織変更、端末紛失などが起きた場合は、期限前でも証明書を失効させる必要があります。検証側は、CRLやOCSPなどを使い、証明書が失効していないかを確認します。

電子署名の種類と特徴

電子署名という言葉は、厳密なデジタル署名から、業務上の承認証跡まで幅広く使われます。導入時には、どのレベルの本人確認、改ざん検知、証拠保全が必要かを明確にしてから方式を選びます。

デジタル署名

デジタル署名は、公開鍵暗号とハッシュ関数を使って作成・検証する電子署名です。署名者の秘密鍵で署名を作成し、検証者が公開鍵で検証します。技術的には、電子署名の代表的な実装方式です。

デジタル署名は、署名後のデータ変更を検知しやすく、公開鍵と電子証明書を組み合わせることで、署名者の確認にも使えます。契約、申請、ソフトウェア配布、証明書を使う通信など、改ざん検知と本人性が問われる場面に適しています。

PGP署名・OpenPGP署名

PGPやOpenPGPは、メールやファイルに署名や暗号化を行う仕組みです。署名を付けることで、受け手は送信者が想定どおりか、内容が改ざんされていないかを検証できます。

OpenPGPでは、認証局中心のPKIとは異なる信頼モデルが使われることがあります。組織で利用する場合は、鍵の発行、配布、更新、失効、バックアップ、退職時の扱いをあらかじめ決めておく必要があります。

電子印鑑

電子印鑑は、業務上の承認や稟議の証跡として使われることが多い表現です。ワークフロー上の承認操作、押印画像、承認ログ、システム履歴などが含まれる場合があります。

電子印鑑は、技術方式が一つに定まった用語ではありません。単なる画像貼り付けでは、改ざん検知や本人性の検証は弱くなります。監査や契約証跡として使う場合は、デジタル署名、タイムスタンプ、ログ、アクセス制御を組み合わせる必要があります。

デジタルID

デジタルIDは、オンライン上で個人や組織を識別する仕組みの総称です。電子証明書、鍵、本人確認、認証方式、失効管理、監査ログなどが組み合わさって成立します。

電子署名では、デジタルIDの品質が署名の信頼性に影響します。本人確認が弱い、秘密鍵が共有されている、失効手順がない、ログが残らないといった状態では、署名の証拠力や運用上の信頼性が下がります。

電子署名が情報セキュリティに寄与する領域

電子署名は、データのやり取りにおける信頼性を支える技術です。特に、完全性、否認防止、なりすまし対策の一部として機能します。

データの完全性を確認する

電子署名は、署名対象データから算出したハッシュ値を利用して、署名後の改ざんを検知します。契約書、申請書、請求書、ソフトウェア配布物などで、受領後に内容が変更されていないかを確認できます。

完全性は、「改ざんが絶対に起きない」という意味ではありません。改ざんが行われた場合に検証で検知できる状態を作ることです。検証者が署名検証を行わない、証明書の失効を確認しない、古いハッシュアルゴリズムを使い続けると、電子署名の効果は下がります。

否認防止を支える

否認防止は、後から「自分はその操作をしていない」と否定しにくくする考え方です。電子署名では、秘密鍵が本人だけに管理され、本人確認やログが整備されていれば、署名行為の証跡として利用しやすくなります。

ただし、否認防止は技術だけでは成立しません。秘密鍵が共有されていた、端末が乗っ取られていた、承認フローが形骸化していた、ログが保存されていなかった場合、本人の意思に基づく署名と評価しにくくなります。鍵管理、認証、監査ログ、失効手順を合わせて整える必要があります。

なりすまし対策の一部になる

電子署名は、相手の正当性を確認する仕組みの一部として使えます。たとえば、署名付きメールや署名付きソフトウェアでは、受け手が発行元や内容の完全性を確認できます。

Web通信でも、サーバ証明書により接続先の正当性を確認します。証明書の発行主体、確認された情報、有効期限、失効状態を検証することで、なりすましや改ざんへの耐性を高めます。ただし、証明書の種類によって確認できる範囲は異なるため、用途に合った証明書を選びます。

電子署名の活用場面

電子署名は、契約、申請、承認、配布物の検証など、デジタル上で証跡を残す必要がある場面で使われます。活用時には、本人確認、証跡、保存期間、失効確認、法令・規程上の要件を合わせて確認します。

ビジネスでの活用

ビジネスでは、契約書、発注書、業務委託契約、社内承認、報告書、請求書などで電子署名が使われます。印刷、押印、郵送の手間を減らしつつ、署名者と署名後の変更有無を検証できます。

一方で、すべての業務に同じ方式を使えばよいわけではありません。契約金額、規制、監査要件、本人確認の強度、保存期間によって、必要な署名方式は変わります。重要な契約では、電子署名、タイムスタンプ、本人確認、ログ保存、権限管理を組み合わせて設計します。

官公庁・公共分野での活用

オンライン申請や各種届出では、申請者の本人性と提出データの改ざん防止が問われます。電子署名を使うことで、申請データが本人によって作成・送信されたこと、提出後に内容が変更されていないことを確認しやすくなります。

公共分野では、証明書の取得、失効確認、保存、監査、タイムスタンプの扱いなどが手続きの信頼性に直結します。利用者側も、指定された証明書や署名方式、有効期限、更新手順を確認しておく必要があります。

個人での活用

個人でも、ローン、保険、各種サービス契約、電子申請などで電子署名を使う場面が増えています。対面や郵送に依存せずに手続きを進められるため、利便性が高まります。

個人利用では、端末紛失、アカウント乗っ取り、パスワード再利用、フィッシングが現実的なリスクになります。利用するサービスの本人確認方式、二要素認証、通知、ログ確認、端末保護を合わせて確認します。

電子署名を使う際の注意点

電子署名の信頼性は、導入した技術だけでは決まりません。秘密鍵、証明書、認証局、失効確認、ログ、本人確認をどのように管理するかで、実務上の効果が変わります。

秘密鍵の管理

秘密鍵が漏えいすると、第三者が本人になりすまして署名できるおそれがあります。秘密鍵は、電子署名の信頼性を支える中核であり、保管方法と利用権限を厳密に管理します。

• 秘密鍵を共有しない
• 端末内保管、ICカード、HSMなど、用途に合う保管方式を選ぶ
• 端末のOS更新、マルウェア対策、ディスク暗号化を行う
• 退職・異動・紛失時の失効手順を定める
• 署名操作のログを保存し、後から確認できるようにする

組織で運用する場合は、秘密鍵を誰が管理し、どの端末から使え、異常時に誰が停止判断をするかまで決めます。

認証局と証明書の信頼性

電子証明書は、公開鍵と主体を結びつけます。ただし、その信頼性は発行者である認証局の確認プロセスに依存します。認証局がどのような本人確認や組織確認を行い、どのように失効対応を行うかを確認します。

社内認証局を使う場合は、信頼範囲が社内または限定された関係者にとどまることがあります。外部取引、公共手続き、社内承認など、用途ごとに求められる証明書の種類と信頼範囲を分けて設計します。

証明書の有効期限と失効確認

証明書には有効期限があります。期限切れの証明書を使うと、検証に失敗したり、運用上受け付けられなかったりします。証明書を使う業務では、更新期限の監視と更新手順を用意します。

また、鍵漏えい、退職、端末紛失、組織変更などが起きた場合は、有効期限前でも証明書を失効させる必要があります。検証側が失効確認をしないと、無効になった証明書を信頼してしまうおそれがあります。CRLやOCSPによる確認を運用に組み込みます。

電子署名法上の扱い

日本では、電子署名及び認証業務に関する法律により、電子署名の定義や、一定の要件を満たす電子署名が付された電磁的記録の真正な成立の推定について定められています。

ただし、電子署名が付いていれば常に同じ法的評価になるわけではありません。本人による署名といえるか、署名に必要な符号や物件が適正に管理されていたか、本人確認や証跡が十分かなどが、用途や紛争時の判断に影響します。重要な契約や法令対応では、法務・コンプライアンス部門と要件を確認します。

従来の署名と電子署名の違い

手書き署名や押印と電子署名は、どちらも承認や合意を示す手段として使われます。ただし、検証方法、複製リスク、運用管理、法的評価の前提が異なります。

検証方法の違い

手書き署名や押印は、筆跡、印影、押印手順、保管状況、周辺証拠などから判断されます。一方、電子署名は、署名データ、公開鍵、電子証明書、証明書チェーン、失効状態などを使って機械的に検証できます。

改ざん検知では、電子署名に強みがあります。署名後に文書内容が変わると、署名検証に失敗するためです。ただし、署名検証を適切に行う運用がなければ、この強みは活かせません。

複製の容易さと鍵管理の違い

電子データは複製や転送が容易です。これは利便性を高める一方で、秘密鍵やアカウントが漏えいした場合に被害が広がりやすいことを意味します。

電子署名では、紙の保管だけでなく、秘密鍵の保護、端末管理、アクセス制御、ログ、証明書の失効、署名済みデータの保存を設計します。技術導入だけでなく、運用管理が信頼性の条件になります。

用途ごとに必要な要件が異なる

電子署名は、契約、申請、社内承認、ソフトウェア配布、メール署名など、用途ごとに求められる水準が異なります。本人確認の強度、証明書の種類、保存期間、タイムスタンプ、監査ログ、失効確認の要否を用途ごとに整理します。

軽微な社内承認と、高額契約や公的手続きでは、求める証跡や本人確認レベルを同じにする必要はありません。リスクに応じて方式を選ぶことが現実的です。

電子署名の今後

業務のオンライン化が進むほど、電子データに本人性、完全性、時刻、発行元を結びつける仕組みの必要性は高まります。電子署名は、その中心にあるトラストサービスの一つです。

リモート化・自動化との相性

電子署名は、遠隔での合意形成やワークフローの自動化と相性があります。契約、申請、承認、通知、保管までを電子化し、署名とログを残すことで、処理の速度と監査可能性を高められます。

一方で、自動化された承認フローでは、誰がどの条件で署名できるかを明確にする必要があります。権限が過剰だったり、承認者の確認が形骸化したりすると、電子署名の信頼性が下がります。

タイムスタンプやeシールとの組み合わせ

タイムスタンプは、ある時刻にデータが存在し、その時刻以降に変更されていないことを示すために使われます。電子署名と組み合わせると、誰が署名したかに加え、いつ存在していたかを確認しやすくなります。

eシールは、組織が発行したデータであることを示す仕組みとして扱われます。請求書、証明書、通知書など、組織発行の電子データを信頼できる形で流通させる際に関係します。電子署名、タイムスタンプ、eシールは用途が異なるため、証明したい内容に応じて組み合わせます。

運用設計の重要性

電子署名の今後は、暗号技術だけでなく、利用者が無理なく使える運用設計に左右されます。秘密鍵の保護、証明書更新、失効、ログ確認、本人確認、例外時の処理を複雑にしすぎると、現場で回避策が生まれやすくなります。

電子署名を定着させるには、セキュリティ水準と使いやすさを両立させる必要があります。高リスク業務には厳格な本人確認と鍵管理を適用し、低リスク業務には過剰な手順を避けるなど、リスクに応じた設計が求められます。

まとめ

電子署名は、電子データに対して本人性と改ざん検知を付与する仕組みです。公開鍵暗号、ハッシュ関数、電子証明書、PKIを組み合わせることで、署名者とデータの完全性を検証できます。

電子署名は、契約、申請、承認、メール、ソフトウェア配布など、デジタル上の信頼性が問われる場面で有効です。ただし、内容の秘匿には暗号化が必要であり、否認防止や法的な証拠力は、秘密鍵の管理、本人確認、ログ、証明書の有効性、失効確認に依存します。

導入時は、署名で何を証明したいのかを先に決めます。本人性、完全性、時刻、組織発行元、保存、監査のどれを重視するかによって、必要な方式と運用は変わります。電子署名は単体のツールではなく、業務プロセスとセキュリティ運用に組み込んで設計する必要があります。

参考資料

• e-Gov法令検索：電子署名及び認証業務に関する法律
• デジタル庁：電子署名
• e-Gov電子申請：認証局のご案内
• NIST CSRC Glossary：Digital Signature
• NIST FIPS 186-5：Digital Signature Standard