現地取材! 米Symantec認証局の厳格「SSL認証プロセス」

フィッシング詐欺による被害が後を絶たない。オンライン・バンキングやネット・ショッピングを利用するユーザーの増加や、クラウド・ストレージ・サービスなどの普及を背景に、これらユーザーを狙った「偽サイト(成り済まし)」の数は増加の一途をたどっている。

2013年6月、日本フィッシング対策協議会が発表した2012年のフィッシング情報報告件数は828件で、対前年比で約66%増となった。また、同年のフィッシングサイト件数は2286件で、対前年比で293%増だった。

フィッシング詐欺の防止対策として有用なのが、SSL(Secure Socket Layer)サーバ証明書だ。信頼できる第三者機関(認証局)がWebサイト運営者の身元を確認し、独自の審査基準に基づいて証明書を発行する。その仕組みは次の通りだ。

ユーザー(クライアント)が利用するWebブラウザには、認証局のルート証明書があらかじめ登録されている。企業は、認証局から発行された証明書をWebサーバなどにインストールし、クライアントがその証明書の情報を参照することで「偽サイト(成り済まし)」を防ぐ。また、クライアントとサーバ間で行われる通信を暗号化する機能も備えているので、通信中の情報漏えいの心配もない。

しかし近年、SSLの信頼が揺らぐ事件が発生した。2011年8月、オランダの認証局であるDigiNotarが、531件の偽造証明書を発行していたことが判明したのだ。同社は認証局としての信用を失い、同年9月に破産した。これにより、同社の証明書を利用していた企業のWebサイトは、安全性を担保できなくなってしまったのである。

米国シマンテックによると、ワールド・ワイドにおけるSSLサーバ証明書の発行機関数は、650に上るという。では、企業ユーザーは、どのような点に留意して認証局を選ぶべきなのだろうか。

シマンテックは、「物理的に堅牢なセキュリティで認証局を運営していること」「証明書申請者の実在性確認を行う、厳格な認証プロセスを確保していること」を挙げる。そのうえで、「(その認証局が)厳格な運用ルールを規定しているか。認証局が定めたルールに従って運用されているか」が重要であるという。

こうした認証は、どこで、だれが、どのようなプロセスで行っているのだろうか。今回、米国にあるシマンテックの認証局を訪問する機会を得たので、そのようすを交えながら紹介していきたい。

政府主要機関より厳しい入局条件

シマンテックは、「ドメイン認証型」「企業認証型」「EV(Extended Validation)認証型」の3種類のSSLサーバ証明書を発行している。ドメイン認証型は、ドメインだけを認証して暗号機能を提供するものだ。外部から通信の内容が分からないようにするのが、主な目的である。

一方、企業認証型は、Webサイトの運営組織・団体の実在性を確認したうえで、ドメインとともに認証する。そして、企業認証型よりもさらに厳格な認証を行うのが、EV認証型だ。

例えば、企業認証型では、企業名や会社登記、その正当性(米国ではビジネスライセンス)などを各所轄機関で確認する。また、複数の情報とシマンテックが所有するデータベースを利用し、その正当性を確認する。

さらにEV認証型は、企業認証型の確認事項に加え、実際にビジネスをしているのかも確認する。例えば、申請した企業が「休眠」や「無効」でないことを確認するため、銀行明細などの提出を求めたり、申請の窓口となった社員が「実在の正当な人物」なのかを確認するため、第三者機関で電話番号を確認して人事部に連絡し、役職(証明書発行を依頼する)権限があるのかどうかも確認したりするという。

こうした確認作業を行っているのが認証局のスタッフだ。米国シマンテックでオーセンティケーション担当シニアマネージャーを務めるJeff Cardoso(ジェフ・カルドーソ)氏は、「スタッフには、4～6週間の時間をかけて認証ポリシーを理解してもらう。認証局であってはらないのが、偽証書を発行すること。これを避けるための知識をつけてもらう」と語る。

実は、認証局のスタッフとして働くためには、いくつものハードルがある。面接とインターネット知識に関するテストを行ったあと、入念なバックグラウンドチェックが行われるという。Cardoso氏は、「政府主要機関でも『ここまでチェックしない』というぐらい徹底的にチェックする。紹介状や社会保険番号はもちろん、履歴書の裏取り、(ローンなどの)財務状況、賞罰の有無なども調査する。このバックグラウンドチェックは5年ごとに1回行われる」と説明する。

ほとんどのスタッフはリクルーティングによって集められ、前職もコンサルタントや教師、団体職員などさまざまだという。「エンジニアやプログラマーのような専門知識ではなく、ネット上での検索スキルや書類の整合性を正しく判断できるかどうかが採用のポイントだ」(Cardoso氏)

不正に認証を得ようとするハッカーたちは、例えば、会社設立証明書(米国)や、電話料金の明細書も偽造する。スタッフはこうした偽造書類をインクの色やフォント(文字デザイン)などから偽書類かどうかを確認するという。

ミリタリー・グレードのセキュリティ

今回訪問したのは、シマンテック本社(米国カリフォルニア州マウンテンビュー)近くにある認証局である。通りに面しているが、案内表示は出ていない。建物内(オフィスエリア)に入るためには、パスワードとIDによる認証が求められる。当然、警備は有人による24時間365日体制だ。

同施設には約200名が勤務し、認証作業に当たっている。残念ながらオフィス内の風景は撮影することができなかったが、中にはセミナールームやソファが置かれたリフレッシュルームがあるなど、普通のオフィスと変わらない。しいて言えば、隣席のモニターが見えないよう、背の高いパーティションを導入していることぐらいだろう。

同施設内にはデータセンターおよび、「認証局キーセレモニールーム」(キー生成に使用されるコンピュータがある場所)も置かれている。これらのエリアに入るためには、虹彩(目の虹彩)とID、さらにパスワードによる認証が必要であり、必ず2人同時でないと入れない徹底ぶりだ。

建物自体も米国国防総省セキュリティ指針を基に、壁には鉄板がはめ込まれており、「ミリタリー・レベルを確保している」(Cardoso氏)。ちなみに、認証局はグローバルに散在している。日本にも関東近辺に拠点あり、25名が働いているという。

Cardoso氏は、「こうしたプロセスや施策について『コストをかけすぎる』との声があるかもしれない。しかし、われわれが提供しているのは『SSL証明書』でななく『信頼』だ。それが揺らぐことがないよう、万全の対策を講じている」と、その必要性を強調した。