なぜSSLサーバ証明書が大事なのか?

オンラインサービスを展開する企業の間で、Webサイトの安全性や信頼性を確保する手段としてEV SSLサーバ証明書を採用するケースが増えている。EV SSLサーバ証明書を導入しているWebサイトにアクセスすると、Webブラウザのアドレスバーが「緑色」で表示されるようになる。利用者はひと目でWebサイトの安全を確認できるし、サービス提供者側も自社サイトの安全性をわかりやすくアピールできる。EV SSLサーバ証明書が求められる背景には何があるのか。SSLサーバ証明書発行などのセキュリティ関連サービスを提供する日本ベリサインの上杉謙二氏にSSLサーバ証明書を取り巻く状況について聞いた。

日本ベリサイン マーケティング部プロダクトマーケティング シニアプロダクトマネージャ 上杉謙二氏。SSLサーバ証明書を取り巻く状況についてお話を伺った

──Webサイトの利用において、SSLサーバ証明書が果たしている役割について教えてください

SSLサーバ証明書には、"通信の暗号化"と"実在性証明"というふたつの役割があります。どちらも重要ですが、Webサイトでサービスを提供する場面においては、運営者が本人かどうかを明らかにする実在性証明が欠かせません。

というのもインターネットは自己申告の世界だからです。どんなに有名な企業であっても、Webサイトに自社の名前を記載したところで、インターネット世界では勝手に名乗っているだけに過ぎません。ドメイン名に企業名を入れても、デザインに凝ったWebページを作っても、それが本物かどうかを確かめる手掛かりにはならないのです。

しかしインターネットでビジネスを行なうには、第一に"取引の相手が誰なのか"を特定できないと成立しません。そこでベリサインなどの認証局が第三者としてWebサイトの運営者を審査し、SSLサーバ証明書という形で実在性を明らかにしています。

こうした活動の積み重ねを通してSSLサーバ証明書の認知が広がり、ショッピングやオンラインバンキングといったWebサイトでの採用が進み、さまざまなサービスが安全に利用できるようになっています。

──そうした中で「EV SSLサーバ証明書」という新しい方式が作られたのには、どのような背景があるのでしょうか

一番の要因は、SSLサーバ証明書を機械的に発行する認証局が登場したことです。このような認証局ではドメイン所有者の確認のみといった簡単な手続きで、それこそ数分で証明書が発行されてしまいます。

SSLサーバ証明書を簡単に取得できるようになると、警告が一切表示されない偽物サイトも簡単に作れてしまいます。実際、そうしたSSLサーバ証明書を利用したフィッシング詐欺サイトが登場しています。

そうなるとSSLサーバ証明書自体の信頼性が低下し、インターネットの安全性も損なわれてしまいます。当社が独自に実施したアンケート調査でも、「SSLサーバ証明書付きのWebサイトでも利用するのが不安」と答える方が増えていることがわかりました。このような状況でSSLサーバ証明書本来の価値や安全性を維持するためにも、新しい仕組みを作る必要があったのです。

──EV SSLはどのように策定されたのでしょうか

SSLの価値の維持・向上を目的として、ベリサインをはじめとする世界各国の認証局、マイクロソフトやMozillaなどのブラウザベンダと共同で「CA/ブラウザフォーラム」という団体を立ち上げました。

そこで証明書の発行プロセスや認証局のあり方などあらゆる観点で議論し、EV SSLのガイドラインを策定しました。証明書の発行については共通の要件を定め、どの認証局でも一定レベルの審査を経て発行することになりました。

一方、インターネットユーザーの裾野が広がっていることを受け、パソコンやインターネットに詳しくない人でも、Webサイトの安全性をひと目で確認できるようにする仕組みも必要になりました。そこで採り入れたのが「グリーンバー」です。当社では今後、Webサイトの安心の証といえるグリーンバーを広く知っていただく活動を進めていく考えです。

──従来のSSLサーバ証明書を持つWebサイトの安全性は、どのようにして判断すればいいのでしょうか

Webブラウザに鍵マークが表示されたら、クリックして証明書を開き、その発行先(サイトの運営者)と証明書の発行元(認証局)を確認することが大切です。ただ、それだけではSSLサーバ証明書がどのようなプロセスで発行されたかはわかりません。その信頼性については、利用者ご自身で判断しなければならないのが現状です。

ただ、ベリサインでは、SSLサーバ証明書の発行には厳格なプロセスを導入しており、発行元がベリサインであれば、運営者の実在性の確認がとれている安全なWebサイトと考えてよいでしょう。

鍵マークをクリックすると、Webサイトの運営者情報などを確認できる。安全性を色で識別できない場合はチェックしてみよう

──ところで、Windows XPでグリーンバーを表示する方法はあるのでしょうか

ベリサインでは、Windows XP環境でInternet Explorer 7を使っている場合でもグリーンバーを表示できるように、「ベリサイン EV Upgrader」を提供しています(Windows Vista+IE7の環境ではデフォルトでグリーンバーが表示される)。EV Upgraderの機能により、ベリサインが発行したEV SSLサーバ証明書に限られますが、その証明書を持つWebサイトにアクセスすると、Windows Vista版のIE7と同様にアドレスバーが緑色に変わります。特別なソフトをインストールする必要はなく、IE7のフィッシング詐欺対策機能を有効にするだけで使えます。XPユーザーの方もグリーンバーを見ていただければ、そのわかりやすさを実感していただけると思います。

「ベリサイン EV Upgrader」をインストールすると、Windows XPのIE7でもグリーンバーが表示されるようになる(ベリサイン発行の証明書のみが対象)