「EV-SSL／マネージドPKI」特集、ウェブサイトの信頼性向上が必須に

　企業のセキュリティ対策は、それぞれ独自に取り組んでいるが、それらの多くが「防御」や「防止」という観点からの対策として行われている。しかし「改ざん」や「なりすまし」「フィッシング詐欺」などといった手口の巧妙化により、自社ウェブサイトや通信者のアイデンティティの確立はもはや常識となってきた。また、オンラインビジネスの多様化により、確固たる認証手段や通信の暗号化が重要視されており、企業側は信頼性を担保する必要に迫られているのだ。本企画では、より高いアイデンティティの確立から管理の方策として「EV-SSL」「マネージドPKI」を解説し、信頼性担保の必要性について専門家と事業者の意見を聞いていく。6面ではEV-SSLの重要性や必要性について、有限責任中間法人・日本電子認証協議会（JCAF）の秋山卓司代表理事にインタビューした。7面ではSSLベンダの立場から、ハイパーボックスとコモドジャパンに登場してもらい、自社のPRにとどまらず、SSL認証導入のメリットにも言及してもらった。

《基礎解説》 「マネージドPKI」とは何か

　PKI（Public Key Infrastructure）は、公開鍵暗号方式を用いて安全な通信を確保するセキュリティインフラを構築する仕組み。共通鍵暗号や電子署名などによって、外部からの「なりすまし」や「改ざん」といったリスクを防ぐだけでなく、自社内ネットワークをセキュアな環境として活用する方法が注目を浴びている。PKI環境を構築することは、企業の信頼性を担保する上でも有効な手段である。

　PKI技術を用いた代表的なソリューションとしてSSL（Secure Sockets Layer）やメール暗号化方式のS/MIME（Secure MIME）などが挙げられる。これらは、PKIのインフラ上に成り立っている。

　自社でPKIインフラを構築しようとする場合、その設計から導入、運用までには相当な時間とコストがかかるうえ、一定の困難を伴うのが現状だ。

　公開鍵証明書を発行する「認証局」（CA）が必要で、電子証明書の発行審査を行う「登録局」（RA）と電子証明書を発行する「発行局」（IA）を自社内に構築する必要がある。システム管理者や運用担当者への負荷、また、設備などへの投資も無視できない。企業側のそうした手間を軽減するのが、「マネージドPKI」である。

　日本ベリサインやサイバートラストでは、電子メールの保護から情報漏洩保護、業務システムへの認証や各種リモートアクセス認証、企業間取引認証といった散在する業務を一括で管理でき、柔軟性と拡張性に優れ、かつコストパフォーマンスの高い認証局アウトソーシングサービスとして注目を浴びている。