1994年にNetscape(ネットスケープ)からSSL(Secure Socket Layer)が発表されてから14年。ブラウザ右下の鍵マークは、暗号化によるセキュアな通信とウェブサイト運営者の実在証明として、ネットバンキングや多数のECサイトで導入されてきた。ところが最近、ドメイン名のみのSSL証明を取得し、フィッシングサイトに使われるケースも出現。SSLの信頼性が揺るぎかねない状況になってきている。そこで登場したのが、より厳格な審査基準を設けた「EV-SSL」である。IE7(Internet Explorer 7)、Firefox3、Opera9.5といった対応ブラウザでは、アドレスバー部分が緑色に変わるなど、利用者に一目で安全性を伝えられるのが特徴だ。一方でEV自体の認知度不足もあって、日本国内ではまだ広く普及するに至っていない。SSLの現状やEV普及への課題などについて、有限責任中間法人・日本電子認証協議会(JCAF)の秋山卓司代表理事(日本クロストラスト代表取締役)に聞いた。
秋山卓司(あきやま たくじ)氏 日本電子認証協議会代表理事、日本クロストラスト代表取締役。「先日、経済産業省の方から『EV-SSLはホワイトリストですね』と言われたのですが、私はネット企業のトレーサビリティーの確保であると考えています」
鍵マークでは見分けつかず
ドメイン認証型SSLは、審査を簡易にし、コストを下げた証明書です。企業内VPN(Virtual Private Network)にSSL-VPNを使う場合や、自社メールサーバにSSL経由でアクセスするケースなど、暗号化が目的で、組織の実在証明が必要ない場合に適しています。いわば簡易版ですね。対する実在認証型は、サイト運営主体となる企業などの実在を証明するものです。
一般ユーザから見ると、どちらもブラウザの右下に「鍵マーク」が表示されるだけで、ドメイン認証も実在認証も区別がつきません。鍵の部分をクリックして中身を覗かなれば分からないわけです。そこで、悪意のある人が、ドメイン認証を匿名取得し、自分のフィッシングサイトなどに貼り付けた。でも鍵マークがあるので、ユーザは安心してパスワードやカード番号を入れてしまうんですね。数年前からそういう被害が報告され、問題点が指摘されてきました。
加えて従来は各認証局ごとに証明書発行ポリシーが異なっていた。そこで世界の主要認証局やブラウザベンダーが集まり、米国でCABF(CA/Browser Forum)が設立されました。同団体がガイドラインを定め、それに準拠する形で登場したのが「EV-SSL」なのです。
3方向から実在を確認
「EV-SSL」の特徴の一つに、従来にも増して厳格な審査基準があります。そこでは、(1)登記などの法務的な存在、(2)事業所の存在(ポストや私書箱、電話だけの会社ではないか)、(3)企業として活動しているか(原則3年以上)―という3点で実在を確認します。そして、最も特徴的なのが、鍵マークに加え、IE7などの対応ブラウザではアドレスバー部分が緑色になるということです。認証レベルは「URLの色」で確認してくださいということになりました。ユーザ側にとってはEV-SSLサーバ証明書が一目で見分けられるようになったわけですね。
IE7ではEV-SSL認証を受けたサイトはアドレスバー部分が緑色になる(三井住友銀行インターネットバンキング「One’sダイレクト」より)
普及が遅れる対応ブラウザ
しかし「EV-SSL」は現在、都市銀行などのインターネットバンキングなど数百社が取得している程度で、日本企業の多くではまだ導入は進んでいないのが現状です。それはいくつかの理由があります。
まず、対応ブラウザのIE7が搭載されている「Windows Vista」の普及が遅れていることが挙げられます。加えて、IE7については、一部金融機関などのネットバンキングでこれまで動作保障をしていなかったこともあり、ユーザ側の心理的抵抗もあります。
また、日本ならではの課題もあります。全てのEV-SSLが携帯との互換性を確保できているわけではありません。携帯に互換性のあるEV-SSLを使った場合でも、現在販売されている携帯ではEV-SSLが識別されません。協議会でもEV-SSLの携帯対応に向けて、様々な方面から活動を進める所存ですが、実現には時間がかかるものと思われます。
そして、審査が厳格化された反面、取得費用が高い、手続きが煩雑になったという側面もあるのでしょう。
企業にとっては高い費用対効果
ただ、EV-SSLの取得にかかる費用が高いとは言っても、多くの企業ではフィッシング対策のソリューションに何百万、何千万という金額を投資しているんですね。そう考えると、従来との価格差は10万円以下ですし、費用対効果は極めて高いと思うのです。今後、多くの企業やユーザに導入してもらえれば、ますます費用は低くなっていきます。
そして一番のメリットは、何といっても、お客様に安心してインターネット上のサービスを受けていただけるということです。我々としても普及に向けた啓発活動を積極的に行っていきたいと考えてます。
有限責任中間法人 日本電子認証協議会(JCAF)とは
EV-SSL認証の要件定義と標準化を行う米国CABF(CA/Browser Forum)が設立されたことに呼応し、昨年1月31日に国内の主要な電子認証関連事業者が発起人となって発足した。
JCAF公式サイト (http://www.jcaf.or.jp/)
参加団体は、RSAセキュリティ株式会社、財団法人インターネット協会、エントラストジャパン株式会社、グローバルサイン株式会社、サイバートラスト株式会社、セコムトラストシステムズ株式会社、株式会社帝国データバンク、株式会社東京商工リサーチ、NPO日本ネットワークセキュリティ協会、社団法人日本インターネットプロバイダー協会、日本クロストラスト株式会社、日本認証サービス株式会社、日本ベリサイン株式会社、株式会社日本レジストリサービス、マイクロソフト株式会社、有限責任中間法人 Mozilla Japanの16法人。
役員は、秋山卓司代表理事(日本クロストラスト株式会社)、礒貝幸一理事(日本ベリサイン株式会社)、加藤顕理事 (サイバートラスト株式会社)、町田陽理事(日本認証サービス株式会社)、宮部美沙子監事(エントラストジャパン株式会社)の5氏が務める
(
聞き手:西村健太郎、吉岡里美、写真:更科智子
)
記事についてのご意見・ご感想
『 《EV-SSLの基礎知識》 日本電子認証協議会(JCAF)秋山 卓司 代表理事に聞く、一目で分かる緑のアドレスバー 』に対する
関連記事
![人気の検索キーワード[内部統制]](/common/image/sch_icon_keyword.jpg){kind=icon}
ページの先頭へ
