gihyo.jpサイトのロゴ

Hosting Expert

第9回不況に勝つためのSSL投資

2010-01-22

昨年に発生した世界的な金融危機の影響で、IT投資も冷え込んでいます。こういう状況だからこそ、投資のメリハリを付けることがこれまで以上に重要になります。その1つが、より強固で安全なセキュリティ対策です。

従来のSSL証明書の問題点

SSLは通信内容の改竄や盗聴を防止するとともに、サイトを運営する企業や組織が本当に実在することを証明するものですが、証明書を発行するための認証方法には統一された標準規格がありませんでした。そのためSSL証明書の発行基準は認証局によって様々であり、SSLを採用するサイトであっても、そのサイトが本当に安全なのか、またそのサイトを運営する企業や組織が本当に実在するかどうかは必ずしも確実ではなく、サイトの信頼性を調べるためには多くの手数や時間を要していました。

また、サイトがSSLを採用しているかどうかはブラウザのアドレスバーなどに表示される小さな鍵のアイコンで見分けるしかなく、ユーザにとって、アクセスしたサイトがSSLを採用しているかどうかを見極めるのは困難でした。

これらの問題点を解決するのが、EV SSL証明書(Extended Validation SSL証明書)です。

EV SSL証明書とは

EV SSL証明書は、サイトを運営する企業や組織の実在性をより高い精度で立証すること、ユーザがサイトの認証情報をより容易に識別できることを主な目的に開発されました。これは主なブラウザベンダや認証ベンダーなどが参加するCA /ブラウザフォーラムという組織が策定したガイドラインに基づくもので、EV SSL証明書を発行する認証局はこのガイドラインを順守しなければなりません。つまり、EV SSL証明書は従来のSSL証明書よりも発行手続が厳格なため、より信頼性が高くなるのです。

具体的には、認証手順の改訂とリアルタイムな認証が大きな変更点です。EV SSL証明書のガイドラインでは、認証局は申請者が申告した情報をそのまま使用するのではなく、認証局が独自に確認した情報を使用するよう定めています。また認証局自身も、年1回の監査を受ける必要があります。これにより、証明書の記載情報が全て正確であること、また証明書の申請者が所属する組織の証明書を取得する権限を持つことが保証されます。

EV SSL証明書も従来のSSL証明書と同様にセキュアなハッシュ関数を含んでおり、改竄された場合は正しく機能しないため完全性が保証されています。

さらにIE7 などのブラウザが装備するOCSP(OnlineCertificate Status Protocol)機能とMicrosoftのルートストアにより、証明書の有効性をリアルタイムで確認できます。OCSP機能では後述のようにブラウザのアドレスバーの表示を緑色に変えることでEV SSL証明書の有効性を示しますが、その有効性はリアルタイムに確認するため、サイトがEV SSL証明書の取り消しを受けるなどした場合は証明書が有効である旨の表示はなされません。ルートストアにはEV SSLのルート証明書の有効状況が登録されており、認証局が年1 回の監査に合格しなかったり不適切なEV SSL証明書を繰り返し発行したりするとEV ルート証明書のリストから除外するため、疑わしい認証局のEV SSL証明書は無効化されます。

このようにして、EV SSL証明書は従来のSSL証明書以上の安全性・信頼性を確保しているのです。

ユーザにとってのEV SSL証明書のメリット

サイトにアクセスするユーザにとっては、EV SSL証明書で保護されたサイトとそうでないサイトははっきりと見分けられるというメリットがあります。Internet Explorer 7(IE7)などEV SSL証明書に対応したブラウザでは、EV SSL証明書で保護されたサイトにアクセスするとアドレスバーが緑色の表示になり、アドレスバーの隣に追加されるセキュリティステータスバーに、証明書を発行した認証局の名称とサイトを運営する企業や組織の名称・所在地が交互に表示されます。これによりユーザはサイトがEVSSL証明書の発行を受けたことをはっきりと認識でき、より確実に認証されたサイトにアクセスしていること、またSSL/TLSプロトコルによるデータの暗号化通信が行われていることが明確になるのです。

現在、EV SSL証明書の表示にはIE7 以降の他、Firefox 3.0以降、Opera 9.5以降、Safari3.2以降など主要なブラウザが対応しています。非対応のブラウザではアドレスバーの表示は変わらないものの、従来のSSL通信を示すアイコンは表示されます。

IE7 でEV SSL証明書を表示させるためにはOCSP 機能を有効にさせる必要があり、フィッシングフィルタを有効にするとOSCPも同時に有効になります。フィッシングフィルタにより、EV SSL証明書を受けたサイトのアドレスバーが緑色で表示される以外に、正当性が疑わしいサイトではアドレスバーが赤色や黄色で表示され、ユーザに危険を知らせる仕組みになっています。なお、Windows XPのIE7でEV SSL証明書の表示を有効にするには、ルート証明書の更新が必要です。

EV SSL証明書は携帯電話からのアクセスにも対応していますが、PC からのアクセスと異なり、現時点ではアドレスバーの表示などは従来のSSL証明書を受けたサイトと変わりません。

国内では、すでに金融機関や証券会社、信販会社、大学などでEV SSL証明書の採用が広がっています。企業がIT を含む投資を必要な分野に絞り込んでいるのと同様に、ユーザもネットショッピングなどインターネットサービスを利用する際に商品やサービスの価格や質に加えて、サイトの評価基準として安全性を重視する傾向がより強まっています。不況の中でも選ばれる魅力あるサイトを構築するためには、EV SSL証明書の導入などセキュリティ面のさらなる強化が従来以上に求められると言えるでしょう。

おすすめ記事

記事・ニュース一覧