Internet Watch logo
記事検索
最新ニュース

「EV SSL」で厳格な実在証明を、サイバートラストの阿多親市社長


 サーバー証明書などの電子認証事業を手がけるサイバートラストが21日、事業戦略説明会を開催し、阿多親市代表取締役社長兼CEOが今後の事業領域や「EV SSL」の動向を説明した。


Yahoo! BBの顧客情報漏洩事件でPKI事業の必要性を実感

サイバートラストの阿多親市代表取締役社長兼CEO
 サイバートラストは、ビートラステッド・ジャパンが1月に社名変更した会社。ビートラステッド・ジャパンは2005年7月にソフトバンクBBと資本提携し、ソフトバンクBBの子会社となっている。阿多社長はまず、その背景として、2004年に起きたYahoo! BBの顧客情報漏洩事件を挙げた。阿多社長は2004年3月にソフトバンクBBのCISO(情報セキュリティ管理責任者)に就任したが、顧客に対する情報セキュリティの必要性を実感。IDとパスワードだけではセキュリティは徹底できないとして、社内でPKIをやりたいという結論になったという。なお、阿多社長は現在も、ソフトバンクBBに加えて、ソフトバンクモバイルとソフトバンクテレコムのCISOも兼任している。

 しかし、セキュリティ技術は米国からやってくるものがほとんどのため、日本の企業のニーズに合うかたちで提供していくのが難しく、中でもPKIは「融通の利かない」ものだったという。そんな中で、1)コントロール可能な認証局を日本に持っていること、2)世界で出荷されるセキュリティ製品の95%以上を認証している機関「ICSA Labs」を保有していること、3)オリジナルの電子文書保管技術を持っていること──の3点に魅力を感じて、ビートラステッド・ジャパンをソフトバンクBBの子会社にしたと説明した。

 認証におけるID・パスワードからPKIへの流れに関しては、米国における各種セキュリティ技術の利用状況を調査したグラフを紹介。これによれば、米国でSOX法が施行された後の2004年から2006年にかけて、ID・パスワードの利用率は18%減少したのに対して、PKIが27%増加しているという(ただし、2006年時点でもID・パスワードの利用率がPKIを上回っている)。頭の中に記憶しておくだけでいいパスワードと異なり、PKIの暗号鍵を配布・保存するという仕組みは必要になるものの、現在は暗号鍵を収めるデバイスが安価になっていることや、個人や会社を認証することがより重要になっているという背景があることを指摘した。

 サイバートラストが展開していくサービス領域については、顧客企業が認証局を運用するインハウス認証局構築サービス「UniCERT/KRS」、Webサーバーやメールアドレスの実在証明を行なうサーバー証明書発行サービス「SureServer & SureMail」という従来からの分野に加えて、顧客ブランドの認証局をアウトソーシングする「Managed PKI」、自社ブランドでの安価なクライアント証明書を発行する「Shared PKI」、コンシューマ向けのクライアント証明書を発行する「Digital ID」の3分野をここ1年でラインナップしてきたという。特にDigital IDについて阿多社長は、「個人を基点にした認証の仕組みはこれから必要になってくる。Digital IDは、今後PKIを語るのに重要なジャンル」と強調した。


米国SOX法施行後のセキュリティ技術利用状況 サイバートラストのサービスラインナップ

「EV SSL」によって、より厳格な実在証明を

IE7におけるEV SSL証明書の認証結果表示
 続いて阿多社長は、サーバー証明書における実在性の審査を強化した「EV SSL(Extended Validation SSL)」について説明した。

 サイバートラストでは現在、企業などにサーバー証明書を発行するにあたり、1)WHOISによるドメイン確認、2)登記簿謄本などによる企業の実在確認、3)NTTの104番号案内を使った上での電話による申請の意思確認──というプロセスを実施し、そのサイトの運営企業の実在を確認している。

 一方、サイトの実在証明までは必要とせず、SSLによる暗号化通信のみのニーズもあり、サーバー証明書も多様化しているという。しかし、SSL暗号化通信のみの場合でも一般にはサーバー証明書と見られており、Webブラウザ上の「鍵アイコン」の意味が混在化していると指摘。また、SSLを使用したフィッシングサイトも現われたことから、鍵アイコンの信頼性にも問題が出てきているという。阿多社長は「(実在証明のためのサーバー証明書と)SSL暗号化通信のみのサービスと区別がつかない。もう一度きっちりとしたルールの中で実在証明の審査をすべきという考えのもとで出てきたのがEV SSL」と説明した。

 米国では2006年10月にCA/Browserフォーラムによって統一された審査基準によるガイドラインが策定され、Internet Explorer 7(IE7)で対応したという。これにより、Windows Vista/XP上のIE7では、有効なEV SSL証明書を使用したサイトにアクセスするとアドレスバーが緑色に変わるとともに、認証局(CA)名が表示される。一方、証明書の有効期限が切れたサイトや有害なサイトでは、赤に変わって警告する仕組みだ。

 阿多社長によれば、EV SSL証明書の発行にあたっては、従来のサーバー証明書よりもさらに厳しい審査プロセスを実施するとしており、場合によっては、その会社に訪問したり、担当者への面談や、法務担当者の証明書を弁護士を通じて入手するといったことも考えられるとした。

 ただし、EV SSLを普及させるにあたっては「サイバートラスト1社だけでできることではない」と述べ、2月1日に発足した「有限責任中間法人 日本電子認証協議会」を通じて活動していく考えだ。協議会にはサイバートラストのほか、日本ベリサイン、日本ジオトラスト、日本コモドなどの電子認証関連企業のほか、WebブラウザベンダーとしてマイクロソフトとMozilla Japanなど、10社が名を連ねる。EV SSLの統一ガイドラインを策定し、厳格な運用を行なっていくという。

 事業戦略説明会には、米Cybertrustのアジア太平洋担当シニアバイスプレジデントのPaul O'Rourke氏も出席。同社が新たに立ち上げたEV SSLサービスについて「EV SSLは、顧客やユーザーの信頼性を高めるものとして、頂点を極めるものとなる。従来のSSLよりも認証を強化し、特にイーコマースや金融業界、フィッシングのターゲットになりやすい業界が対象となる。今後3カ月から6カ月で、急速にEV SSLの採用が伸びてくる」とコメントした。

 また、同じく米Cybertrustのグローバルサービス担当シニアバイスプレジデントのKerry T.Bailey氏も「EV SSLに関しては、2月はじめにグローバル展開を始めたばかりだが、国際的展開が加速するものと思われる」と見通しを示した。


米Cybertrustのアジア太平洋担当シニアバイスプレジデントであるPaul O'Rourke氏 米Cybertrustのグローバルサービス担当シニアバイスプレジデントであるKerry T.Bailey氏

関連情報

URL
  サイバートラスト
  http://www.cybertrust.ne.jp/
  有限責任中間法人 日本電子認証協議会
  http://www.jcaf.or.jp/

関連記事
「フィッシング対策に万全はない」~セキュアブレイン星澤氏講演(2006/03/28)


( 永沢 茂 )
2007/02/21 18:43

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.