UN/EDIFACTのセキュリティは、EDIFACTメッセージのみの保護に関与するもので、メッセージを生成し処理するエンド・ユーザのアプリケーションに関する内部的セキュリティに関与するものではない。結論を言えば、UN/EDIFACTのセキュリティを使用するためには、キー管理も必要となる。
セキュリティのあらゆる目的からみて、(現実的に多数存在する)キーは注意して取り扱わなければならない。アルゴリズムは一般に周知の知識であるので、キーと組み合わせてはじめて望ましいセキュリティを提供できる。ユーザは共通キーを暗号化の目的のために使用することもできるし、あるいは、1組の組み合わせキー(プライベート・キー1つとパブリック・キー1つ)を使用することもできる。すべてのシステムに共通することであるが、キーの配布には安全確保を心掛けなければならない。当事者間で双務的に処理することもできるし、また、第三者を含めて処理することもできる。この場合、第三者は、キーの登録、承認、配布に関する手順の実施を委託される。これらの第三者は、委託第三者(Trusted Third Parties: TTPs)と呼ばれていることが多い。いかなる場合にも、キー管理に関する規則および手順について関係当事者は合意しておかなければならない。
セキュリティの手順およびサービスの追加
電子データ交換に伴うさまざまな危険性に十分対応するために、両当事者は、付随的リスクに関して、以下の手順およびサービスを実施することができる。これらは、UN/EDIFACT構造とは、無関係である。
─追加識別コード、ユニーク・シーケンス・コード、または同様の非暗号化追跡スキームや非暗号化ラベリング・スキームを使用すること
─メッセージ・トランザクション・ログの記録、または同様のトランザクション処理の保存や検査のために、第三者サービス提供者を使用すること
─企業内コンピュータ・ネットワークのローカル・ワーク・ステーションでは、プロテクトされた自動記憶装置(protected automatic storage)を使用すること
─通信設備が使用可能であることおよび安全性をモニタすること
2.6 記録の保存
記録と「メッセージ」の保存および保管に関する関連細目および仕様は、以下のとおりである。
─保守する記録の範囲
─保存するときのフォーマット
─記録を保管する期間
─保存および保管に使用する媒体
─記録を入手する際のアクセス権
─保存されたものを保管する方法(検査、環境条件など)
─記録の安全性を保持し、取消不能にするための要件
─記録の入手可能性に関する規則
両当事者は、第2.5条(セキュリティの手順およびサービス)の規定に従って、項目に応じて指定された細目を検討することが望ましい。
第3章 メッセージの処理
3.1 受信
アクセス可能性の方法に関する指定には、次のものが含まれるであろう。
─受信者の代理として行動するサービス提供者を介してのアクセス可能性
─サービス提供者が(例えば、電子メール・ボックスに)保存するメッセージに受信者によるアクセス可能性
─受信者の組織内コンピュータ・システムを介してのアクセス可能性
