選ばれ続ける理由――日本ベリサインが提供する安心、安全：常時SSL時代に求められるサーバ証明書の「新標準」

SSLサーバ証明書を発行する「認証局」がらみの不正アクセス事件が多発する一方で、業界で長い経験と実績を有するベリサインは、高いサービス品質を保ち続けてきた。その背景には、確固たるポリシーと運用、物理面も含む厳密なセキュリティ対策がある。SSLサーバ証明書の対応アルゴリズム拡大やバンドルサービスの充実にも取り組むことで、業界をリードしている同社の取り組みを聞いた。

モバイルと無線LANの普及で進む「常時SSL」

　オンラインショッピングサイトやログインページで、個人情報やID、パスワードといった重要な情報を入力する際には、ブラウザに「南京錠」マークが表示されている状態であること、つまりSSL通信を利用することが当たり前だ。近年ではさらに、Webサイト全体で常にSSLで接続する「常時SSL」化を採用するサイトが増えている。FacebookやTwitterといった主要なソーシャルネットワーキングサービスにおいても、常時SSLが採用されている。

　その背景には、スマートフォンやタブレット端末といったモバイルデバイスと無線LAN接続の普及がある。モバイルデバイスでいつでもインターネットに接続できる環境は便利なものだが、一方で、オープンスペースで提供されている無償の無線LANサービスを利用して暗号化なしで通信を行うと、悪意ある第三者に通信を盗聴され、個人を特定可能なCookieなどの情報を盗み取られたり、中間者攻撃を受ける可能性がある。現に、そのためのツールまで登場しているほどだ。

　しかしサイト全体を常時SSL化することによって、すべてのページでCookieの窃取を防ぐことができ、ひいてはなりすましなどの脅威からユーザーを保護できる――そんな観点から、常時SSL化に踏み切るサイトが増えてきている。もはや常時SSLが「常識」となる時代になりつつあるといってもいいだろう。

ブランド変更でも変わらぬ信頼を提供

　このSSL通信を実現するためにWebサーバ側に必要となるのが「SSLサーバ証明書」だ。SSLサーバ証明書は、主に2つの機能を提供する。1つは、「暗号化」による通信の保護。第三者による通信の盗聴を防ぎ、個人情報など重要なデータをインターネット越しに安全にやりとりできるようにする。もう1つは「実在性の証明」だ。通信先の相手が本当に存在し、ドメイン名やWebサイトで名乗るとおりの主体であることを確認する。

ボーダーズが行った消費者向け調査「企業システムとセキュリティについての調査」（2012年5月）において、ベリサインは圧倒的な支持を得た

　1996年から15年以上にわたって、この2つの機能を提供するSSLサーバ証明書発行サービスを展開しているのがベリサインである。国内の商用SSLサーバ証明書65％のシェアを獲得し^（注1）、金融機関などセキュリティを重視する組織での採用率も高い、実績と信頼を備えるトップベンダだ。

　同社は2010年8月、米シマンテックの傘下に入った。これに伴い、2012年4月から、SSLサーバ証明書を導入しているWebサイトに表示されるシールを、それまでの赤を基調とした「ベリサインセキュアドシール」から、イエローベースの「ノートンセキュアドシール」に変更している。

　ロゴの変更後、ベリサインが行った調査によると、シマンテックのセキュリティ対策ソフトでおなじみの「ノートン」ブランドを採用したこともあって、ユーザーの78.4％がノートンセキュアドシールを認知。また、89.4％のネット利用者が「最も信頼できる認証局」にベリサインを選択^（注2）。「変更後も、それまでのベリサイン同様、認知度と安心感を得られている」と、同社SSL製品本部 SSLプロダクトマーケティング部 上席部長 安達徹也氏は述べる。

ベリサインで「不正な証明書発行事件」が起こらない理由

　市場を見渡せば、サーバ証明書を発行する認証局（CA）の運用の不備が原因となって、不正アクセスにつながる事例が発生してしまった。

　2011年には、イギリスのComodoやオランダのDigiNotarがハッキングを受け、不正な証明書を発行してしまうという問題が発生した。またつい最近の2013年1月には、トルコの認証局が、手違いで通常のSSL証明書ではなく中間証明書を発行してしまい、不正な証明書の発行に悪用されてしまったことが判明。急遽GoogleやMicrosoftが失効処理を取る事態となった。もしこうした偽のSSLサーバ証明書が流通し続ければ、実在するサービスの名前を騙るフィッシングサイトやマルウェアをダウンロードさせる不正なサイトにアクセスしても見分けることが困難になる。

日本ベリサイン SSL製品本部 SSLプロダクトマーケティング部 上席部長 安達徹也氏は、「本来行うべき対策をきちんと行ってさえいれば、一連の事件は防ぐことができたはず」と述べる

　だがこうした事件は、電子証明書の仕組み自体に問題があることを意味するものではない。安達氏は「CA事業者が、本来行うべき対策をきちんと行ってさえいれば防ぐことができたはず」と指摘する。

　この点ベリサインは、プロセスと物理セキュリティの両面で、不正な証明書が発行されるような事態が起こらないよう、何重にも対策を実施している。

　まず運用プロセスに関しては、証明書の発行のための手続きや確認事項、セキュリティ体制などをまとめた文書である「CPS（Certification Practice Statement）」を定め、それに沿って発行業務を行ってきた。CPSは、サーバ証明書を利用する企業の実在性をどのように確認し、どのように手続きを行うかといった事柄に始まり、鍵の運用やセキュリティポリシーやディザスタリカバリ体制、設備の管理体制などを事細かく記しており、しかも環境の変化に応じて随時アップデートが続けられている。

　さらに、CAだけでなく登録局（RA）やパートナーも含めた運用体制の指針である、CA Browser Forumの「Baseline Requirement（BR）」（https://www.cabforum.org/documents.html）にも対応。このBRは、運用項目の遵守や監査、従業員のトレーニングなどさまざまな対策をも求めているが、ベリサインはこれに従って、毎年、運用が適切に行われているかどうかの外部監査を受けている。

　データセンターの物理セキュリティにもいち早く取り組んできた。証明書の発行や署名、鍵管理などを行う同社のデータセンターでは、警備員の配置や4段階での入退室管理、などを徹底。権限を持たない人物はエリアには入れないほか、特に重要な鍵生成ステップに関しては、複数の担当者がそれぞれ「符号」を持ち寄り、全員がそろって符号を合わせないと鍵生成が行えないような仕組みを取り、「軍事施設レベルのセキュリティを満たしている」（安達氏）という。

　このように運用とインフラの両面で厳密なセキュリティ対策を取ることによって、ベリサインは日々SSLサーバ証明書の安全性を保ち続けているのだ。

SSL証明書から包括的なセキュリティソリューションへ

　ベリサインはまた、SSLサーバ証明書にさまざまなセキュリティ機能を無償でバンドルし、暗号化と実在性の証明というSSLサーバ証明書本来の機能にとどまらない、総合的なセキュリティ機能の提供を目指している。

　「その一例が、『シールインサーチ』だ」と安達氏は説明する。主要な検索エンジンの検索結果一覧で、ベリサインのサーバ証明書を導入しているサイトへのリンクには、横に「ノートン セキュアドシール」が表示されるという仕組みだ。これにより、正規のサイトと、SEOを悪用して検索ランキング上位に入り込んできた悪質なサイトとをすぐに見分けられるようにしている。

　また「マルウェアスキャン」では、対象となるWebサイトを毎日チェックし、マルウェアが埋め込まれていないかどうかをチェックする。さらに、「EV SSL証明書」や「グローバル・サーバID」にバンドルされている「脆弱性アセスメント」では、WebサイトにクロスサイトスクリプティングやSQLインジェクションといった脆弱性が含まれていないかどうかを確認する。

グローバル・サーバIDなどにバンドルされている「脆弱性アセスメント」では、週に1回、SQLインジェクションをはじめとする脆弱性がWebサーバに存在しないかどうかを診断する

　1月には、脆弱性アセスメントの機能を拡張し、中間証明書の設定をチェックする「中間CA（認証局）証明書チェック機能」を追加した。

　実は、同社のコールセンターに寄せられる質問の中で最も多いのが、中間証明書のインストールに関する内容だという。「Webサービスが広がり、認証局の階層が増えていくと、その階層化した中間証明書をどのようにするかが課題となる」（安達氏）。中間CA証明書をチェックし、設定忘れや期限切れ、中間CA証明書とクロスルート設定用証明書の設定順序などに間違いがないかどうかを確認することで、こうしたトラブルを減らしていく。

　これだけにとどまらず、今後も、SSLサーバ証明書のインストールから更新、アップグレード、失効までのライフサイクル全体をクラウドベースで管理する「Certificate Intelligence Center」など、さらなるサービスの拡充も予定している。

長期的な視野の下、業界に先駆け新アルゴリズムに対応

　2月14日には、商用サービスとしては世界で初めて、「楕円曲線暗号（Elliptic CurveCryptography：ECC）」ならびに「デジタル署名アルゴリズム（Digital Signature Algorithm：DSA）」に対応したSSLサーバ証明書を発行することを発表した。特にECCでは、短い鍵長で強固なレベルのセキュリティを実現できるため、Webサーバへの負荷を減らし、サービスのパフォーマンス向上が見込めることになる。

　実は、同社がこのように対応アルゴリズムを拡大するのは、これが初めてではない。2010年を目途に、米NIST（米国標準技術研究所）が「弱い暗号技術の利用を停止し、より安全なアルゴリズムへ移行すべき」とする方針を示していた。いわゆる「暗号技術の2010年問題」である。このときもベリサインはいち早く、RSA 2048ビットやSHA-2といった新しいアルゴリズムへ対応してきた実績がある。

　今回のECC／DSA対応もそれと同じこと。「危険が迫っているから慌てて対応するというのではなく、長期的な視野に立って必要なアルゴリズムをサポートして多様な選択肢を提供し、安心を保っていく仕組みを実現していく」（安達氏）。

　ベリサインでは、Webブラウザやサーバのベンダなど、業界全体と協力しながら対応アルゴリズムの拡大に取り組んでいくという。「われわれだけでなく、ブラウザやサーバも含めた、SSLのエコシステム全体として強度、セキュリティレベルを上げていく」（安達氏）。

　基本のSSLサーバ証明書の品質を高いレベルで維持しつつ包括的なセキュリティ機能を組み入れることで、「世界で安心して使える、世界標準の証明書をこれからも提供していく」（安達氏）という。

抽選で10名様に「Amazonギフト券5,000円分」をプレゼント

読者アンケート実施中！ 回答はこちらから

ご提供いただいた情報は日本ベリサイン株式会社のプライバシーポリシーに沿い厳重に管理いたします。頂いた情報に基づき、日本ベリサインもしくは日本ベリサインが委託した第三者より、新製品・サービス、キャンペーン情報、セミナー・イベント開催案内、その他日本ベリサインが有益であると判断する情報をご案内させていただきます。また、情報は製品・サービスの開発・向上の参考とするため統計的に処理・分析し、その結果は個人が特定できないような状態で公表させて頂く場合がございます。どうぞご協力をお願い致します。

日本ベリサイン プライバシーポリシー（個人情報保護方針）

提供：日本ベリサイン株式会社
アイティメディア営業企画／制作：＠IT 編集部／掲載内容有効期限：2013年4月10日