 |
 |
記事検索 |
最新ニュース |
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
|
「EV SSL」で厳格な実在証明を、サイバートラストの阿多親市社長 |
||||||||||||||||||||
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
|
サーバー証明書などの電子認証事業を手がけるサイバートラストが21日、事業戦略説明会を開催し、阿多親市代表取締役社長兼CEOが今後の事業領域や「EV SSL」の動向を説明した。 ● Yahoo! BBの顧客情報漏洩事件でPKI事業の必要性を実感
しかし、セキュリティ技術は米国からやってくるものがほとんどのため、日本の企業のニーズに合うかたちで提供していくのが難しく、中でもPKIは「融通の利かない」ものだったという。そんな中で、1)コントロール可能な認証局を日本に持っていること、2)世界で出荷されるセキュリティ製品の95%以上を認証している機関「ICSA Labs」を保有していること、3)オリジナルの電子文書保管技術を持っていること──の3点に魅力を感じて、ビートラステッド・ジャパンをソフトバンクBBの子会社にしたと説明した。 認証におけるID・パスワードからPKIへの流れに関しては、米国における各種セキュリティ技術の利用状況を調査したグラフを紹介。これによれば、米国でSOX法が施行された後の2004年から2006年にかけて、ID・パスワードの利用率は18%減少したのに対して、PKIが27%増加しているという(ただし、2006年時点でもID・パスワードの利用率がPKIを上回っている)。頭の中に記憶しておくだけでいいパスワードと異なり、PKIの暗号鍵を配布・保存するという仕組みは必要になるものの、現在は暗号鍵を収めるデバイスが安価になっていることや、個人や会社を認証することがより重要になっているという背景があることを指摘した。 サイバートラストが展開していくサービス領域については、顧客企業が認証局を運用するインハウス認証局構築サービス「UniCERT/KRS」、Webサーバーやメールアドレスの実在証明を行なうサーバー証明書発行サービス「SureServer & SureMail」という従来からの分野に加えて、顧客ブランドの認証局をアウトソーシングする「Managed PKI」、自社ブランドでの安価なクライアント証明書を発行する「Shared PKI」、コンシューマ向けのクライアント証明書を発行する「Digital ID」の3分野をここ1年でラインナップしてきたという。特にDigital IDについて阿多社長は、「個人を基点にした認証の仕組みはこれから必要になってくる。Digital IDは、今後PKIを語るのに重要なジャンル」と強調した。
● 「EV SSL」によって、より厳格な実在証明を
サイバートラストでは現在、企業などにサーバー証明書を発行するにあたり、1)WHOISによるドメイン確認、2)登記簿謄本などによる企業の実在確認、3)NTTの104番号案内を使った上での電話による申請の意思確認──というプロセスを実施し、そのサイトの運営企業の実在を確認している。 一方、サイトの実在証明までは必要とせず、SSLによる暗号化通信のみのニーズもあり、サーバー証明書も多様化しているという。しかし、SSL暗号化通信のみの場合でも一般にはサーバー証明書と見られており、Webブラウザ上の「鍵アイコン」の意味が混在化していると指摘。また、SSLを使用したフィッシングサイトも現われたことから、鍵アイコンの信頼性にも問題が出てきているという。阿多社長は「(実在証明のためのサーバー証明書と)SSL暗号化通信のみのサービスと区別がつかない。もう一度きっちりとしたルールの中で実在証明の審査をすべきという考えのもとで出てきたのがEV SSL」と説明した。 米国では2006年10月にCA/Browserフォーラムによって統一された審査基準によるガイドラインが策定され、Internet Explorer 7(IE7)で対応したという。これにより、Windows Vista/XP上のIE7では、有効なEV SSL証明書を使用したサイトにアクセスするとアドレスバーが緑色に変わるとともに、認証局(CA)名が表示される。一方、証明書の有効期限が切れたサイトや有害なサイトでは、赤に変わって警告する仕組みだ。 阿多社長によれば、EV SSL証明書の発行にあたっては、従来のサーバー証明書よりもさらに厳しい審査プロセスを実施するとしており、場合によっては、その会社に訪問したり、担当者への面談や、法務担当者の証明書を弁護士を通じて入手するといったことも考えられるとした。 ただし、EV SSLを普及させるにあたっては「サイバートラスト1社だけでできることではない」と述べ、2月1日に発足した「有限責任中間法人 日本電子認証協議会」を通じて活動していく考えだ。協議会にはサイバートラストのほか、日本ベリサイン、日本ジオトラスト、日本コモドなどの電子認証関連企業のほか、WebブラウザベンダーとしてマイクロソフトとMozilla Japanなど、10社が名を連ねる。EV SSLの統一ガイドラインを策定し、厳格な運用を行なっていくという。 事業戦略説明会には、米Cybertrustのアジア太平洋担当シニアバイスプレジデントのPaul O'Rourke氏も出席。同社が新たに立ち上げたEV SSLサービスについて「EV SSLは、顧客やユーザーの信頼性を高めるものとして、頂点を極めるものとなる。従来のSSLよりも認証を強化し、特にイーコマースや金融業界、フィッシングのターゲットになりやすい業界が対象となる。今後3カ月から6カ月で、急速にEV SSLの採用が伸びてくる」とコメントした。 また、同じく米Cybertrustのグローバルサービス担当シニアバイスプレジデントのKerry T.Bailey氏も「EV SSLに関しては、2月はじめにグローバル展開を始めたばかりだが、国際的展開が加速するものと思われる」と見通しを示した。
関連情報 ■URL サイバートラスト http://www.cybertrust.ne.jp/ 有限責任中間法人 日本電子認証協議会 http://www.jcaf.or.jp/ ■関連記事 ・ 「フィッシング対策に万全はない」~セキュアブレイン星澤氏講演(2006/03/28)
( 永沢 茂 )
- ページの先頭へ-
|
