市場調査会社IDCの傘下にあるFinancial Insightsによれば、2004年にフィッシング詐欺が世界の金融機関に及ぼした被害総額は、最低でも4億ドルに上るという。消費者もまた、オンラインにおける脅威に不安を感じている。米国のユーザーを対象とした調査では、回答者の半数近くが個人情報の盗難を懸念してオンライン取引を行っていないことがわかったと、Cyber Security Industry Allianceによる2005年6月のレポートには記されている。
ウェブブラウザも、証明書にまつわる問題の一因となっている。ブラウザは、認証機関の実績や実態に関わりなく証明書を同等に扱っており、SSL認証を保持するサイトにはすべて同じ鍵アイコンが表示されるからだ。
GartnerのアナリストJohn Pescatoreは、「ウェブブラウザは種類の異なる証明書を扱えるようになっておらず、認証機関による審査の信頼性は考慮されないが、そうした事情を悪用する者も出てきている」と述べている。
鍵アイコンはウェブ黎明期にNetscapeによって考案されたもので、当時は、認証されたウェブサイトとの安全な接続を保証するものだった。しかし、審査基準を緩和し、証明書を安売りする認証企業が出現したことで状況が変わったと、Comodoのマーケティング担当バイスプレジデントJudy Shapiroは言う。
「ブラウザはこの問題を看過してしまった。証明書の申請者を審査するという、証明書発行における重要なプロセスが割愛される事態が起こるとは、だれも予想していなかった」とShapiroは言う。「ブラウザは、ある証明書がどの程度信頼できるものなのかを表示するようには作られていなかった」(Shapiro)
もっとも、こうした状況も2006年には変化すると考えられる。例えば、Microsoftはセキュリティを強化した「Internet Explorer(IE) 7」をリリースする予定で、ほかのウェブブラウザメーカーもSSL認証の取り扱い方法の変更を検討している。
VeriSign、Comodo、GeoTrust、Cybertrustなどの認証機関がCA Forumを共同で設立し、信頼性の高い新たな証明書の開発を広く業界に呼びかけた背景には、ブラウザメーカーのこういった動きがある。CA Forum参加企業の関係者によると、同組織は2005年にニューヨーク、ボストン、モントリオールで非公式な会合を開き、そうした証明書を発行するための標準的なガイドラインについて検討したという。
VeriSign(本社:カリフォルニア州マウンテンビュー)は世界最大の認証機関が、同社プロダクトマネージャのSpiros Theodossiouは、「認証機関およびブラウザメーカーは、信頼性の高い証明書とはどのようなものなのかを特定することに協力して取り組んでいる。今は、閲覧中のウェブサイトが実際にその組織に属していることをユーザーに示すための証明書の規準を定義しているところだ」と述べた。
現時点では、そうした規準は存在しておらず、各証明書発行機関が独自の規則を運用している。例えば、VeriSignから証明書の発行を受ける場合、申請者はその実在性を証明し、任意のインターネットドメイン名の使用権を有することを明らかにしなければならない。またVeriSignでは、証明書を購入しようとする人物が、企業内でそうした立場にあることも確認している。一方、マサチューセッツ州ニーダムのデジタル証明書発行機関GeoTrustは自動審査システムを使用しており、VeriSignのThawte部門は電子メールで確認が取れさえすれば証明書を発行している。
GeoTrustのCTO(最高技術責任者)Chris Baileyは、高信頼性証明書は現在の証明書を凌駕するものになると話している。「高信頼性証明書では、ウェブサイトのドメイン名とそれを保有する組織の関係がより鮮明になる。また、組織を代表して申請を行う担当者の権限や、組織の実在性も入念に確認されるようになる」(Bailey)
CA Forumに参加している認証機関は、新たな高信頼性証明書の審査プロセスに、客観性と業界内における一貫性を持たせようと作業を進めている。これらの認証機関の関係者によれば、American Bar Association(米国弁護士会)が独立機関としてCA Forumに加わり、ガイドライン作成を支援することになったという。
Baileyは、「ここまで努力を重ねてきた結果、2006年半ばまでに実際に新しい証明書を提供できる見通しが立った」と述べている。VeriSignとComodoも、2006年には新しいタイプの証明書の利用を開始する予定だ。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス