Special
» 2013年07月01日 10時00分 UPDATE

ネットの安全性を支えてきた“両雄”がついに統合へ――:ベリサインとシマンテックのシナジーが生み出す「セキュリティの未来」

Web改ざんやSQLインジェクションによる情報漏えいなど、ユーザーに大きな影響を及ぼすセキュリティ事件が多発している中、あらためてWebサイトのセキュリティが問われている。ベリサインは、2013年9月にSSLサーバ証明書のブランドを「シマンテック」へと変更し、SSLの範疇を超えた「Webサイトセキュリティ」へのさらなる進化を目指していく。

[PR/@IT]
PR

増えるWebサイトへの不正アクセス

 この1〜2カ月だけでも、Web改ざんによるマルウェア拡散やSQLインジェクションによる情報漏えいなど、ユーザーに大きな影響を及ぼすセキュリティ事件が多発している。日本ベリサイン SSL製品本部 本部長の平岩義正氏によると、「1週間で起こるサイバー攻撃や情報流出をまとめたリストの長さが、数年前に比べ倍以上になっている」ほどの勢いだという。

 しかも、もはやサイバー攻撃やサイバー犯罪は国を選ばない。従来日本では少ないとされてきたフィッシング詐欺だが、盗み出した情報が換金でき「もうかるものだ」という認識が広まってからというもの、組織的な犯罪が広がった。ツールなどの登場により、日本語の壁もなくなってきている。「もはや、『日本は安全だ』などとは言っていられない時代になってきた」と平岩氏は指摘する。

「安全」を見分ける目印、SSLサーバ証明書

 このようにユーザーを取り巻く脅威が増える中で、どうすれば「このサイトは安全だ」ということを確認できるのだろうか?

 1つの目安となるのが「SSLサーバ証明書」だ。認証局によって実在性を証明され、認証済みのサイトであることを分かりやすく示すことで、ユーザーが「このサイトはアクセスしても大丈夫だ」という判断を下す際の目安になる。同時に、個人情報を入力する際などに通信経路をSSLで暗号化する手だても提供してくれる。

verisign_ph01.jpg 「SSLサーバ証明書は安全を示す目安」と述べる日本ベリサイン SSL製品本部 本部長の平岩義正氏)

 特に最近は、「検索サイトを使って、出てきた検索結果の中からどのサイトに行くかを選ぶ方が大半。そのとき、どのサイトに行けば安全なのかを示す目安としても、シールインサーチ機能を持つSSLサーバ証明書が役に立つ」(平岩氏)という。

 このシールインサーチは、ベリサインのSSLサーバ証明書に無償で付属する機能だ。GoogleやYahoo!、Bing、gooなど主要な検索エンジンの検索結果のうち、ベリサインのサーバ証明書を導入しているサイトにはリンクの横に「ノートン セキュアドシール」が表示され、信頼できるサイトであることを見分けられるようになっている(Google、Yahoo!、Bingで表示するにはプラグインが必要となる)。名の通ったブランドを持つ企業はもちろん、成長途中の企業やサービスにとっても、自分のサイトが安心してアクセスできるサイトであることを示す手段になるというわけだ。

 「ブランド名以外の基準で安全なサイトを探せるようにする、見付けられるようにする手助けとして、SSLサーバ証明書が役に立つと思っている」(平岩氏)。

たゆまぬ改善を続けてきたベリサインの認証局運営

 そのSSLサーバ証明書の黎明期から認証局を運営し続け、国内シェアでナンバーワンを誇るのがベリサインだ。これだけの実績を築き上げてきた理由について平岩氏は、「SSLという技術だけでなく、人材採用に始まる人間系も含めた運用、認証というプロセスの3つがきちんと機能し続けるよう、常に改善を続けてきたこと」を挙げる。

 SSLサーバ証明書を発行する認証局は複数存在するが、発行審査(認証)の質という観点で述べるなら、ベリサインは世界で最も厳しいレベルの認証を行う認証局といってよいだろう。申請してきた人物や組織が本当に実在するか、いくつかの書類や電話確認などを通じて丁寧に確認し、定められた手順に沿って初めて発行される。また、その発行業務を担う認証局は、CPS(認証業務運用規定)の元で運用されており、運用に瑕疵がないか、確実に手順通り運用されているかどうかを定期的に監査している。

 「単純に見えるかもしれないシステム運用と認証作業を、繰り返し繰り返し、たゆむことなくその業務の重要性を認識しながら確実に行い、改善し続けている。一貫性を持って安全性の基準を作り、それを守り続けていることが、ベリサインの強み」(平岩氏)。

 しかもベリサインは、常に数年先を見据え、業界に先立って新しい標準を導入してきた。その1つが、認証方法をより厳格にし、それをクリアしたことを緑色のバーによって分かりやすく表示する「EV SSL証明書(Extended Validation SSL)」だ。ベリサインはCA/Browser Forumの一員として、EV SSLの普及、啓発に努めてきた。「いまではだいぶ認知度が高まり、例えばインターネットバンキングのサイトでも、決済処理の部分だけでなくコーポレートサイトも含め、すべてEV SSL対応しているところが増えてきている」(平岩氏)。

verisign_scr01.jpg EV SSL証明書による緑色のバー表示で、さらなる安心の目印を提供

 直近では、SSLサーバ証明書の暗号化強度向上とCPU負荷の軽減の両立を目指し、RSAに加えECC(楕円曲線暗号)アルゴリズムをサポートした証明書の商用発行を開始した。早速、世界初の導入事例も発表されており、「この先、ECCというアルゴリズムが浸透していくことは間違いないだろう」(平岩氏)。

「サーバ証明書」の枠を超え包括的な「Webセキュリティ」へ

 このように「常に、先進的なアプローチは必要だと思っている」という言葉通り、改善と拡張を続けてきたのがベリサインのSSLサーバ証明書だ。最近では単なる「サーバ証明書」を超えた、包括的なWebセキュリティを提供する存在へと進化しつつある。

 平岩氏はあえて、「Webサイトのセキュリティを担保するには、SSLサーバ証明書だけを入れればいいわけではない」と述べる。例えばWebサイトに脆弱性があれば、そこをつかれて入力した個人情報が盗まれるかもしれないし、他者への攻撃の踏み台に悪用されるかもしれない。

 そうした懸念をはらすべく、ベリサインではSSLサーバ証明書の機能を拡張し続けウェブサイトセキュリティソリューションを強化してきた。その一例が、Webサイトに悪意あるソフトウェアやコードが埋め込まれていないかどうかをチェックする「マルウェアスキャン」であり、定期的に脆弱性を検査する「脆弱性アセスメントサービス」であり、クラウドベースの「WAF(Web Application Firewall)」だ。また、検索結果の中から安全なサイトを見付けやすくする「シールインサーチ」も、ユーザーに優しい機能だ。

シマンテックへとブランド変更、変わらぬ価値とさらなる進化へ

 そのベリサインだが、2010年8月にシマンテックの傘下に入ったことを踏まえ、2013年9月に、SSLサーバ証明書のブランドを変更する予定だ。例えばこれまで「ベリサイン セキュア・サーバID」として発行されてきたSSLサーバ証明書は、「シマンテック セキュア・サーバID」として提供されることになる。

 ブランド変更の狙いについて平岩氏は、次のように説明する。

 「われわれが常に追及しているのは『インターネットの世界をより安全にするにはどうしたらいいか』ということ。その中でSSLサーバ証明書が1つの目印になればいいと思っている。一般の方に『セキュリティ』と聞いたときに連想する名前は、やはり「ベリサイン」よりも『ノートン』であり『シマンテック』だ。一般ネットユーザーに馴染みのあるブランド名を冠する認証シールを表示し、製品名とすることによって、ユーザーの方が『これならば安全だろう』と連想できれば、目印としてますます有効に機能し、セキュリティ事故を防げる可能性が一段と高まるのではないか」

 すでに2012年4月には、SSLサーバ証明書を導入しているWebサイトに表示される「ベリサインセキュアドシール」を、黄色を基調とした「ノートンセキュアドシール」に変更済みだ。変更から約1年後の2013年5月にボーダーズが行った調査によると、ノートンセキュアドシールの認知度は77.3%に上った。さらに、複数のSSL認証のマークの中で、ノートンセキュアドシールを最も信頼できるマークと回答したのは90.4%と、圧倒的に高い支持率を示した。SSLサーバ証明書の「シマンテック」移行にも、同様の効果が期待できる。

 こうして、コンシューマー向けには「ノートン」、技術者向けには「シマンテック」というブランドをそれぞれ前面に押し出すことで、どちらにも信頼感を伝えていきたいという。

verisign_fig01.jpg
verisign_fig02.jpg ボーダーズが2013年5月に行った調査では、ノートンセキュアドシールの認知度は77.3%、SSL認証のマークの中で「最も信頼できるマーク」と回答したのは90.4%と、圧倒的に高い比率となった

 「『このサイトは訪問しても大丈夫なんだな、個人情報を入力しても大丈夫なんだな』という安心感を、Webサイトの表玄関の部分で変わらず伝えつつ、お客さまの内部のセキュリティを、シマンテックのソリューションでサポートし、高めていく」(平岩氏)。

 平岩氏は、こうした相乗効果によって、ベリサインの証明書が『シマンテック』ブランドに変わっても提供できる価値は変わらないし、むしろいっそう高まるだろうと述べる。

 「個人情報を守るには、SSLサーバ証明書だけでも、シマンテックの一部のサービスだけでも不十分。今回のブランド変更によって、一貫した保護を提供し、シマンテックのブランドや技術と一体化した、さらなるWebセキュリティを提供していきたい」(平岩氏)と語る今後のベリサイン&シマンテックに期待したい。

ベリサインSSLサーバ証明書ご購入者様プレゼントキャンペーン

ベリサインのSSLサーバご購入者の中から、抽選で10名様にモバイルプロジェクタ―「MP410」プレゼント!

txt1.gif

Copyright© 2017 ITmedia, Inc. All Rights Reserved.


提供:日本ベリサイン株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2013年7月31日

ベリサインSSLサーバ証明書ご購入者様プレゼントキャンペーン

ベリサインのSSLサーバご購入で、抽選で10名様にモバイルプロジェクタ―「MP410」プレゼント!

関連リンク

日本ベリサイン

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。