ニュース

シマンテックが「Encryption Everywhere」、SSLサーバー証明書の無償発行環境を整備

 株式会社シマンテックは30日、SSLサーバー証明書の発行サービスなどを含むウェブホスティングセキュリティサービス「Encryption Everywhere」を、ホスティング事業者などを通じて国内提供すると発表した。

 SSL/TLS通信で暗号化されているのは、全体で約10億あるウェブサイトのうちの、わずか3%しかないという。SSLサーバー証明書の発行枚数は年率で10%以上増えているが、株式会社シマンテックの平岩義正氏(Website Security営業本部本部長)は、「SSLサーバー証明書は長らく使われており、増加を続けているが、まだ足りないと考えている」と述べた。そして、「ホスティング事業者で契約すれば、そのまま提供されるような形で、ユーザー意識せずに高いレベルの安全を享受できるウェブサイトセキュリティを提供したい」とした。

 ウェブサイトのSSL/TLS対応(HTTPS化)については、Googleが2014年に、ページランク基準に加えると発表したことで注目され、GoogleやFacebook、Twitterなどがすでに対応を済ませているほか、ChromeやFirefoxなどのウェブブラウザーでは、HTTPS化されていないウェブサイトを表示する際に警告を表示することが検討されている。

 このほか、ハッキング技術の向上により、閲覧者の限られるイントラネットでもSSL/TLS対応が求められるようになりつつある。また、フリーWi-Fiスポットへの接続時に、安全にウェブサイトを閲覧する際の対策としても重要度が増している。このほか、ページ表示時間を短縮化し、TLS接続の効率を改善するHTTP/2プロトコルは、現在世界中のトラフィックの18%を占めるに至っているが、多くのブラウザーでは、HTTP/2の対応に暗号化通信を必須としているという。

 さらに2016年4月には、国内でもYahoo! JAPANがSSL/TLSへの対応を発表しているほか、SSLサーバー証明書の無料発行サービス「Let's Encrypt」が正式版に移行したことでも注目を集めている。

 Encryption Everywhereで提供されるSSLサーバー証明書は、シマンテックからではなくホスティング事業者から提供されるため、価格についてはシマンテックで設定するわけではないが、ホスティング契約者には無料の追加サービスとして提供される見込みだ。

 シマンテックの林正人氏(Website Securityプロダクトマーケティング部プロダクトマーケティングマネージャー)はEncryption Everywhereの提供について、「ホスティング事業者の方々に喜んで使ってもらえる状況を作ることがポイント」とし、エンドユーザーが気にかけるセキュリティに加えて、SSL/TLS対応による検索ランキングの向上や、表示速度への影響がないといった面で「ホスティングベンダーの価値向上につながる」とした。国内ではファーストサーバ株式会社から提供されることが、すでに明らかになっている。

 無償のSSLサーバー証明書発行サービスが増えている状況については、「大きなニーズがあることは認識しているが、無料であることにはリスクも存在する」と指摘。特にHTTPS化を逆手にとったマルウェアは直近の4カ月で300%増加しているという。これは、犯罪者も無償で証明書を手にすることができる状況によるもので、マルウェアのHTTPS化により「従来のセキュリティ製品で検知しにくくなる」とのことだ。

 Encryption Everywhereでは、ドメイン名のみを認証して暗号化する「ドメイン認証(DV)SSL証明書」に加え、企業の実在性認証やオンラインシール、マルウェアスキャンの機能を備えたレベル2のウェブサイトセキュリティを備えた「OV SSL証明書」、さらに脆弱性アセスメントなどを加えたレベル3の高いセキュリティを備える「EV SSL証明書」を提供するとともに、これらのアップグレードパスも併せて提供する。

 林氏は、DV SSL証明書については、個人サイトや、アクセスする人が限られるイントラネットなどで、OV SSL証明書は、不特定多数がアクセスする、重要個人情報などがあるウェブサイトなど、EV SSL証明書については、金銭の決済などを含む、不特定多数がアクセスするオンラインバンキングやECサイトでの利用を推奨するとした。

 このうちDV SSL証明書は、安価に利用できるが、認証のプロセスにおいてドメイン名が怪しいものかどうかがチェックされる。シマンテックでは多くの企業の認証を行っており、「申請ベースで証明書をバラまいているような仕組みとは全く違う」とした。ただし、フィッシング詐欺の対策にはならないなど、不足している機能があるという。「無償から有償になるに従ってセキュリティが向上していく。この各段階を提供することで顧客に選択肢を提供する」と述べた。

 証明書の発行では、設定用に中間証明書も必須になるなど、多くの手順が必要となるが、ホスティング事業者がAPIを介してシマンテックのサーバーに接続することで、こうした機能を提供するという。今回のEncryption Everywhere提供にあわせてサーバーをアップグレードし、100万単位の証明書発行が可能になったとのことだ。

 ホスティング事業者にとっては、「証明書に問題があった場合には、すぐにシステム的に入れ替えたり、悪意のある利用の際には排除するといったメンテナンス面でもメリットがある。こうしたシステムのバックグラウンドをシマンテックが担うことで、安定したサービスの提供が可能になる」とした。

 また、ホスティング事業者からエンドユーザー向けにウェブサイトセキュリティの重要性を訴求する際のマーケティング支援などもあわせて行い、より高いセキュリティの証明書提供につなげたいとした。