第一のリスクは、機密情報の漏洩である。例えば、EDIで送信中のクレジット・カード番号が盗聴されれば、他人のクレジット・カード番号を利用しての不正な取り引きが行われる可能性が出てくる。
第二のリスクは、送受信の相手を確実に認証できない問題である。例えば、他人の振りをしてピザ屋さんに多量の偽の注文を出し、本人とピザ屋さんに損害を与える事も出来るかもしれない。
第三のリスクは、EDIで送信中の情報の改ざんである。例えば、EDIデータ中の金額や数量にゼロを1つ加えて誤った情報を作り出す事も可能かも知れない。
(2-1) EDIセキュリティ機能
EDIの安全性を検討する場合、次の4つのセキュリティ・リスクについて対応策を講じなければならない。
1] 情報の改竄
情報の送信途中(メールボックスなど)で、源情報を都合の良いように変更されてしまう事が考えられる。メッセージの内容が変更されるだけではなく、複数送信した内の一部のメッセージだけ抜き取られる可能性もある。これら情報の改憲には、ハッシュ化と呼ばれる技術を利用する事で対処できる。
例えば、請求書の明細書には、明細の項目ごとの金額とともに合計金額も合わせて記載する。明細項目ごとの金額があれば合計金額は自明であるのに、わざわざ合計金額を記載するのは、一つにはチェックの意味がある。すなわち、明細書を受け取った者が検算をし、合計が記載されている合計金額と合わなければ、明細項目のいずれかか、記載合計金額かが間違っている事を検知できるのである。この記載合計金額を、我々はハッシュ・トータルとよんでいる。EDIメッセージの送信においても、メッセージ全体に特殊な演算を施し、演算結果すなわちハッシュ値もあわせて送信することで、受信者はメッセージ内容の信憑性、あるいはメッセージの改竄を検知できるのである。
2] 成り済まし
本人でない者が本人に成り済まして偽せの情報を送ったり、本人に成り済まして機密情報を入手しようとする悪者がいるかも知れない。これを防止するには、メッセージに送信者本人が間違いなく送信した証拠の、本人認証情報を付けて送信することである。本人認証情報は、発信人しか知らない暗号鍵を使う事で、当該情報が本人発である事を保証でき、成り済ましを防止できる。これは一般にはデジタル署名と呼ばれている。
