パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

マイナンバーカードの電子証明書を使ってSSHログインする」記事へのコメント

  • 文章を見る限り、関連法規を一切チェックしないで公開しちゃってますよね

    会社のサーバーと実名で公開するにしては内容が稚拙するように感じます
    顧問弁護士を使って法的観点でチェックしてもらってから再公開したほうがいいです
    会社の取引先一覧見てみましたが、この件で切られても文句言えませんよ

    あと、公開前のツイッター上でのああいう発言はほんと控えましょうよ

    • by Y-taro (38255) on 2016年06月24日 11時43分 (#3035175)

      それで、法令違反に当たる箇所はどこでしょうか。

      たしかに法では一定の利用制限があって、際どそうなところはあるように思います。

      (署名用電子証明書又は利用者証明用電子証明書の発行の番号の利用制限等)
      第六十三条
       機構、署名検証者等、署名確認者又は利用者証明検証者以外の者は、何人も、業として、署名用電子証明書の発行の番号又は利用者証明用電子証明書の発行の番号の記録されたデータベース(自己以外の者に係る署名用電子証明書の発行の番号又は利用者証明用電子証明書の発行の番号を含む当該自己以外の者に関する情報の集合物であって、それらの情報を電子計算機を用いて検索することができるように体系的に構成したものをいう。以下この項において同じ。)であって、当該データベースに記録された情報が他に提供されることが予定されているものを構成してはならない
      電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律 第63条第1項 [e-gov.go.jp]

      (強調筆者)

      他人、事業、第三者提供、の3つがそろう場合、電子証明書の発行の番号は使えないことになります。
      「利用者証明検証者」とは、記事でいう「証明書の失効情報を得るにはなぜか総務大臣の認可が必要」の認可を受けた者、「電子証明書の発行の番号」とは、記事でいう「認証用証明書のCNは特に意味のないシリアル番号」のことですね。
      違反した場合は、勧告→命令→命令違反に刑事罰、の間接罰に当たります。

      記事では、自宅サーバーでの利用としているものの、自分の利用に限っているかは明らかではなく、また、企業サイト上での記載であることから、事業でないことも明らかではないといえそうです。これらに当たることが明らかともいえませんが。
      しかし、第三者提供については、行おうとしているとも、行われることを求めているともありませんので、これには当たらないでしょう。

      そして、そもそも記事には「今回はSSH認証なので証明書は使いませんでした」とあるので、当然に証明書の番号は使っていないことになり、番号の利用制限には当たらないことになりそうです。

      他方で、読者に向けた法的な注意書きがされていない点についての懸念も生じえますが、記事に沿う限りは適法とみられますし、記事の構成を見る限り、記事の行為が直接に社会で広まること求めるものではなく、総務省に対して環境整備を求めるものに感じます。
      そうすると、法的な注意書きを欠いていることが、法令違反を誘発する要因になるとはいえないように思います。

      親コメント
      • Re: (スコア:0, オフトピック)

        by Anonymous Coward

        法的に見てダメダメなことを書いているのはここです。

        今回はSSH認証なので証明書は使いませんでしたが、証明書の失効情報を得るにはなぜか総務大臣の認可が必要だそうなので証明書の検証が必要な場合は面倒ですが申請するしかないですね。

        総務省へ
        (略)
        本当に個人番号カードを普及させたいのなら、APDU仕様とOCSPレスポンダを公開したほうがよいでしょう。

        「電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律」に証明書失効情報の提供に関する規定があります。総務大臣の認可が必要なのも同法にて定められています。なので、総務省が勝手に証明書失効情報の提供をすることは違法行為になります。

        • by Y-taro (38255) on 2016年06月25日 0時34分 (#3035652)

          法律・総務省について
          日本は内閣にも法案提出権があり、当該法は、総務省で法案を検討の上で内閣が提出したもので、総務省が所管しています。
          したがって、総務省に対して、法改正について検討を求めることは、立法手続上で間違っていません。
          行為に法令違反が疑われるわけではない点については、共通の認識が得られたようで、よかったです。

          電子証明書について
          クライアント認証には電子証明書が必要かと思いますが、SSH鍵認証で必要なのは公開鍵と秘密鍵のペアであって、電子証明書は必要ないのではないでしょうか。
          電子証明書の発行の番号が無関係である点については、共通の認識が得られたようで、よかったです。

          プロトコルの正しさは知りません。
          公的個人認証は電子証明書を使いますが、記事の行為が電子証明書の内容を参照しないことをもって「証明書は使いません」と言っているのであったとしても、論旨に影響はありません。

          親コメント

Stableって古いって意味だっけ? -- Debian初級

処理中...