セキュリティ最大手・シマンテックグループの一員であり、世界第2位の認証局ブランドとして150か国以上・約10万社の顧客を抱えるジオトラスト。その日本法人である日本ジオトラストは、2008年に日本ベリサインの子会社としてジオトラストブランドの証明書の取扱いを開始。現在はシマンテックの子会社としてSSLサーバ証明書の発行に特化した事業を展開している。本稿では、企業のWebサイトにおいてSSLサーバ証明書が必須となりつつある背景と、効率的な証明書の導入・運用を実現するサービスについて、ジオトラストブランドを担当する日本ジオトラスト株式会社 プロダクトマネジメント部のマネージャ、佐藤範絵氏に話を聞いた。

日本ジオトラスト株式会社 プロダクトマネジメント部 佐藤範絵氏

Wi-Fi普及により通信の傍受リスクが増大

スマートフォンやタブレット端末など、スマートデバイスの急速な普及に伴い、街中の至る所に設置されたWi-Fiホットスポットを筆頭に、モバイル端末で通信できる環境が激変しつつある。これにより利便性が向上した一方で、昨今大きな問題となっているのが、無線LANやなりすましアクセスポイントを悪用した中間者攻撃のリスクだ。

佐藤氏はこう警告する。「以前であれば、インターネット通信の内容を盗み見るにはそれなりの技術や知識を要していましたが、最近では一般に公開されているブラウザのプラグイン等を悪用することで、比較的簡単に通信の傍受が可能となっています。加えて一見正しそうなSSIDを設定したいわゆる『なりすましアクセスポイント』も登場し、モバイルアクセスの際に中間者攻撃によって情報を盗まれるリスクが大幅に高まっているのが現状です」

「HTTPS」標準化に動き出したブラウザベンダー

また2013年の米国国家安全保障局の諜報活動に関する暴露事件なども、ネットの盗聴による実害を広く知らしめることになった。こうした背景を受けて、GoogleやMozillaなどのブラウザベンダーでは通信の暗号化を推し進める動きを強めている。ここに来てSSL/TLSの注目度が高まっている理由の1つだ。

例えばGoogleは、2010年に試験的に開始した検索サイトのHTTPS化(SSL/TLS暗号化)を日本で2012年にデフォルトとし、2014年にはHTTPS化しているサイトの検索表示順位を優遇する処置を始めている。またMozillaも、先日RFCが公開された新プロトコル、HTTP/2による速度向上のメリットをSSL/TLS通信のみに実装させることで、企業等に対するSSL/TLS化の積極的な動機づけを行っているのである。

HTTP/2のサポート開始の旨を伝える、Google Chris Bentzel氏、Bence Béky氏のブログ

かつてはWebサイトをHTTPS化する際には、パフォーマンス低下の問題が懸念されていた。しかし現在では。サーバやクライアント端末のCPUが大幅にパワーアップしたことで、SSL/TLSの処理速度も劇的に向上して速度低減の問題は払拭されている。

「こうした技術の進化も、各企業がWebサイトを常時SSL化することに前向きになっている理由の1つです」(佐藤氏)

また、Webサイトを常時SSL化することのメリットは、安全性向上にとどまらない。HTTPとHTTPSの混在環境では、それぞれの通信に合わせた複雑な導線管理に気を使う必要があり、頭を悩ませるウェブアプリ開発者も多かった。しかしサイトを常時SSL化してしまえば、Webアプリケーションの開発もシンプルなものとなり、開発から運用までの効率化が期待できるのである。

あらゆる企業ニーズに応じたサーバ証明書をラインナップ

このように、もはや個人情報を取り扱うページ以外のWebサイトでもHTTPS化は規定路線となりつつあると言っていい。しかし、企業の規模やWebサイトの目的によって、そこで必要となるサーバ証明書もまた異なるはずだ。そこで日本ジオトラストでは、あらゆる企業のニーズに応えられるよう、3タイプのサーバ証明書のラインナップを用意するとともに、いずれも購入しやすい価格帯で提供しているのである。

まず1つ目はドメイン認証タイプの「クイックSSL プレミアム」だ。このタイプでは、年額34,800円からという低価格でSSL暗号化通信を実現することができるドメイン認証(DV)証明書を発行。証明書の発行は、基本的に書類不要で、最短2分で完了する。

最短2分で発行できる、クイックSSL プレミアムの購入ステップ

「正当なドメイン名の利用権限だけを確認してシステムから発行されるDV証明書は、特定利用者のみがアクセスするサイトやイントラネットの暗号化などの用途に向いています。」と、佐藤氏は説明する。

2つ目の企業認証タイプ「トゥルービジネスID」は、SSL暗号化機能に加え、ウェブサイト運営企業の実在性確認を含めた企業認証(OV)証明書を発行する。こちらのタイプは、高いセキュリティを低価格で手に入れられるのが特徴となっている。

「第三者データを活用し、人手によって企業の実在性を認証して発行されるOV証明書は、Webサイトの信頼性をはかる基準となるため、不特定多数がアクセスする公式サイトやECサイトでの利用に向いています」(佐藤氏)

そして3つ目は、企業認証タイプで、Webサイトの信頼性が非常にわかりやすいEVタイプの「トゥルービジネスID with EV」である。先の2タイプと比べ、より厳密な認証プロセスを経て発行されるEV SSL証明書は、銀行や大手企業を中心に導入が進んでいるが、現在はその他の企業にも採用が広がっている。

佐藤氏は、「OV証明書をより厳格に認証して発行されるEV証明書は、発行を受けた企業の名前がブラウザのアドレスバーに緑色に表示されることで、訪問者がWebサイトの信頼性を容易に確認できる特徴があります」と語る。

各サービスの違いがわかりやすく説明された日本ジオトラストのWebページ

日本ジオトラストでは、これら3種類のSSLサーバ証明書の他にも、複数のサブドメインのサイトを1つの証明書でカバー可能なワイルドカード証明書も取り揃えている。そのため、イントラネットでいわゆる自己署名証明書(いわゆる「オレオレ証明書」)を多用しているようなケースでは、最小限の証明書に集約して管理負荷を大幅に低減することが可能だ。

クラウド環境やモバイルアクセスにも最適なサービスを提供

このように、暗号化だけの用途から、信頼性の訴求、管理負担の軽減等、様々なニーズに適した証明書をワンストップで、しかも低価格で提供できるのが日本ジオトラストの大きな強みとなっている。特にコスト面で注目すべきは、同社の証明書がライセンスフリーで提供されている点だ。つまり、1つのFQDN(サブドメインを含むドメイン名)であれば、サーバの台数に関係なく1つのライセンスで利用できるのである。

「数多くの仮想サーバを運用するのが一般的なクラウド環境でも、ライセンスを気にせずにサーバ数を増やせます。クラウド時代のサーバ運用形態に合致した証明書サービスだと自負しています」(佐藤氏)

そして忘れてはならないのが、日本ジオトラストの認証局がシマンテックグループのスタンダードの上で運用されている点だ。これにより、極めて高い信頼性を実現しているのである。サーバ運営者を認証する第三者機関として、認証局運用体制、インフラの信頼性の高さは必須条件とも言っていいものだ。また様々なクライアント環境との通信を可能にすべく、同社では、国内の携帯端末事業者を始めてとしてルート証明書の普及にも努めており、スマホ端末の対応率100%を誇る。

「モバイル端末のユーザーが安全に通信できないといった状況をつくらないよう努力しています」と、佐藤氏は強調する。

日本ジオトラストのサーバ証明書を利用している企業が、Webサイト全体のセキュリティサービスが必要となった場合には、脆弱性やマルウェア診断などの機能を持つシマンテックのSSLサーバ証明書へのステップアップをご案内している。また、現在使用している他社のサーバ証明書の期間が残っている場合には、最大一年間は据え置きの価格でジオトラストの証明書に引き継げる。そのため、証明書の更新時期を待たず、今すぐにジオトラストの証明書を導入してもコストが無駄にならないという。

上記のように他社サーバ証明書の残存期間の「持ち込み」が可能。導入検討者にとっては、見逃せないポイントではないだろうか(ジオトラスト トゥルービジネスIDの資料より)

「見落としがちなポイントまでサポートさせていただくというのが当社の基本スタンスです。Webサイト利用者の目もセキュリティ対応を厳しく選別するようになりつつありますので、ぜひ最適なコストでのセキュリティ強化を検討してみてください」(佐藤氏)

(マイナビニュース広告企画:提供 日本ジオトラスト)

[PR]提供:日本ジオトラスト