VeriSignでVice President of Marketingを務めるTimothy L. Callan氏が情報セキュリティカンファレンス「RSA Conference 2008」でインタビューに応じ、SSLを利用するビジネスサイトはEV SSLに乗り換えるべきかとの質問に「イエス」と回答。EV SSLは「SSLのような標準になるだろう」との見通しを示した。
長らくeコマースサイトなどで使われてきたSSLサーバ証明書には、いくつかの問題もまた指摘されていた。その最たるものが認証局(CA:Certificate Authority)によって審査の基準に大きな差があることだ。
企業や団体がSSLサーバ証明書を利用する際、認証局はその企業が確かに実在するかを様々な手段で確認しようとする。日本ベリサインでは帝国データバンクや、登記事項証明書を利用するなどして、申請者が実在するかどうかを審査している。
しかし、認証局はVeriSignだけではない。申請メールのみで証明書を発行する認証局もあり、SSLサーバ証明書が発行されているという事実だけで、Webサイトの安全性を確認することが難しくなってきたのだ。
こうした問題に対処するため、認証局とブラウザベンダーが協力して立ち上げた団体がCA/Browser Forumだ。メンバーにはVeriSign、GeoTrust、GlobalSignといった世界的な認証局だけでなく、日本のセコムトラストシステムズをはじめ世界各国の認証局が名を連ねている。ブラウザベンダーからはMicrosoft、Mozilla、Opera Softwareだけでなく、KDEも参加している。ただし、Appleは参加していない(後述)。
このCA/Browser Forumが策定したのが、Extended Validation SSL(EV SSL)証明書だ。CA/Browser Forumが定めた厳しい指針を満たした認証局のみ、EV SSL証明書を発行することが可能だ。
ユーザーのメリットは、EV SSL証明書が発行されているWebサイトにアクセスすると、アドレスバーの背景が緑色で表示され、容易に正規サイトかフィッシングサイトかを判断できる点にある。Windows VistaのInternet Expolorer 7が既に対応しており(XPでも対応可)、MozillaはFrefox 3で対応。Operaも次期バージョンで対応する予定だ。
EV SSL証明書の発行が始まっておよそ1年。Netcraftは、2008年2月時点で約4500ドメインがEV SSLを利用しているとの調査結果を発表している。この数字は多いのだろうか、少ないのだろうか。
業界最大手のVeriSignでSSLマーケティングを担当しているCallan氏は、「私は1年でここまできたということでいえば、良い数字だと考える」と語る。
また、1996年11月には3283ドメインがSSLサーバ証明書を利用していたが、現在、その数は60万ドメインを越えている。SSLサーバ証明書には問題もあったが、需要が一巡したというとらえ方もできるだろう。全てのSSL利用者はEV SSL証明書に乗り換える必要があるのだろうか。
Callan氏の答えは「イエス」だ。「SSLは基本的なセキュリティツールだと考えている。多くのWebサイトでログイン情報などを保護しているのだ。今後、金融、医療、官公庁、あるいは個人情報をため込む類のサーバは、やはりEV SSLを使うべきだと言える」
ブラウザのEV SSL対応、機密情報をやりとりするWebサイトにおける導入の進展などを踏まえ、Callan氏は「EV SSLはSSLのような標準になるだろう」と結論付ける。
しかし、企業の導入も重要ではあるが、同じく重要なのは歩みを一つにするブラウザ側の対応だ。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス