EV SSLは、証明局やブラウザベンダーによって組織された「CAブラウザフォーラム」によって規定された最新のSSL サーバ証明書の規格だ。詳細は後述するが、サーバ証明書の発行の際に企業の実在性が厳密に確認されるなど、より高い信頼性が求められるようになっており、フィッシング詐欺で多用されるサイトの詐称の対策に有効とされている。金融機関や証券会社、ショッピングサイトなどの高い信頼性が求められるサイトで、今後、標準的に使われていくことが予想される。
ベリサインが提供するEV SSL証明書は従来のSSLサーバ証明書と何が違うのか? どうしてより高い安全性が確保できるのか? 米国ベリサイン・インクのプロダクトマーケティングディレクターであるTim Callan氏、そして日本ベリサイン システムエンジニアリング部 主任 釜池 聡太氏、マスマーケット営業部マーケティング 奥村 淳氏、に話を伺った。
EV SSL証明書が登場したのは、従来のSSLサーバ証明書を悪用するフィッシングサイトが増えてきたことがその要因だ。同社の釜池氏によると「従来のSSLサーバ証明書は発行する認証局によって、その手続きに違いがあり、簡単な手続きで発行できてしまえるものもありました。これを悪用してフィッシング詐欺に悪用する例が増えてきました」という。中にはドメインマッチングと呼ばれる方法でドメイン情報を確認しただけで発行されるSSLサーバ証明書もあり、サーバ運営者の実在性の証明としては不十分なケースも珍しくなかったとのことだ。
ユーザーの観点から見れば、SSLによる暗号化がなされていれば、それだけで安全なサイトとして認識してしまうことも確かに珍しくない。手軽に取得できるサーバ証明書を悪用されたら、そのサイトが本物の企業のサイトなのか、フィッシング詐欺による偽サイトなのかを判断できないケースもあるだろう。
そこで求められるようになってきたのが、より確かな実在性の証明だ。「EV SSL証明書の発行時には、企業の登記簿謄本の提出、申請書への社長印の捺印と印鑑証明書の添付といったさまざまな条件によりこれまで以上に厳格な認証を行っています(釜池氏)」という。つまり、EV SSL証明書が発行されたということは、その企業がきちんと存在することが法的に確認できていることになる。
つまり、金融機関や証券会社、ショッピングサイトなどにアクセスしたときに、アドレスバーが緑色になれば、厳格な審査を経て証明書が発行された本物の企業のサイトであることがひと目で確認できるというわけだ。
釜池氏によると、ベリサインでは従来から申請があった企業の情報を帝国データバンクの情報などを使って確認するなど、厳格な実在性の確認を行なってきたとのことだが、それをEV SSLという統一された方式へと対応させ、従来の方式に加えて登記簿謄本の確認などさらに高い実在性の確認を可能にしたことになる。
フィッシング詐欺は、利用者に金銭的な被害を与えるだけでなく、サイトの運営者に信頼性の失墜や企業イメージの低下という大きなダメージを与えることが多い。この被害をEV SSL証明書の利用によって防止することが可能になり、より高い安全性と安心感をサイトの利用者に与えることができるというわけだ。
なお、このグリーンバーの効果について、米国ベリサインのTim Callan氏が興味深いデータを紹介してくれた。「大手調査会社による調査によると、グリーンバーで表示されていたサイトが、もしもグリーンバーでの表示をやめたとしたら(つまりEV SSL証明書の採用を中止したら)、70%以上の利用者がそのサイトの利用をやめると回答した」というのだ。
米国ではすでに昨年12月8日からEV SSL証明書の発行が開始され、すでにいくつかのサイトでの運用が開始されている。前述した70%というデータは、Windows VistaのIE7利用者のうちの70%となるため、まだ数としては多くないが、その母数となるEV SSL証明書対応ブラウザが増えてくれば、今後、通常のアドレスバー表示のサイトとグリーンバー表示のサイトで利用者に大きな差がつくことは確実だろう。金融機関、証券会社、ショッピングサイトなど、信頼性が重視されるサイトであればなおさらだ。
この点について同社の奥村氏に話を伺ったところ、同社ならではの特徴は大きく分けて3点あると言う。
2点目の特徴はサポートプラットフォームが多い点が挙げられる。奥村氏によると「弊社のSSLサーバ証明書はブラウザはもちろんのこと、ネット接続対応テレビやカーナビ、携帯電話など、数多くのプラットフォーム向けのサイトに提供されています」という。インターネット上のサービスがPCだけでなく、携帯電話を中心とした、さまざまなプラットフォームで提供されていることを考えると、確かに対応の幅広さは重要だ。
しかも、EV SSL証明書のサイトにアクセスしたときアドレスバーを緑色表示にするには、通常はWindows VistaのIE7を利用する必要がある。しかし、奥村氏によると「弊社ではEV Upgraderと呼ばれるWindows XP SP2搭載のIE7向けの機能強化モジュールを独自に配布しています。このモジュールはベリサインセキュアドシールの付加機能として提供しているため、ユーザはベリサインセキュアドシールが掲載されたウェブサイトにアクセスするだけで、Windows XP SP2の場合でもブラウザのアドレスバーを緑色に変化させるようにアップグレードできます」という。
企業にとってみると、確かにEV SSL証明書によって安全性という自社サイトのブランド力を強化することができるものの、Windows Vistaのユーザーが少ないことで、せっかくの安全性を広くアピールできないのではないかと心配になるかもしれない。しかし、ベリサインのEV SSL証明書ならば、Windows XP SP2も対象にすることが可能だ。しかも、Windows XP SP2用の機能強化モジュールは、すでにベリサインセキュアドシールを掲載中のサイトなら特別な設定なく自動的に提供されるという(奥村氏)。EV SSL証明書自体の普及にも一役買っているというわけだ。
最後の3点目はチャネルの豊富さだ。「弊社では通常のSSLサーバ証明書から、EV SSL証明書、セキュアメールID、ソフトウェアのコードサイニング証明書など、さまざまなセキュリティに関するサービスを提供しています。このためワンストップでさまざまなソリューションを提供できます。またサーバ証明書だけをとっても多くの販売パートナー経由でも購入でき、お客様が通常お付き合いいただいているベンダーからも購入できます(奥村氏)」とのことだ。企業のニーズに合わせて、EV SSL証明書を含めたさまざまなソリューションが利用できるのは大きな魅力だ。
このようにベリサインのEV SSL証明書は、EV SSL自体の規格としては同じでも、サービスとしてはきちんと他社と差別化がされている。EV SSL証明書では、ブラウザのアドレスバーが緑色になるだけでなく、そこに証明書を発行した認証局の名前が表示されることを考えると、ここに知名度の高い認証局が表示されるというのは、サイトのブランディング戦略としても大きな魅力となりそうだ。
サービスとして先行する米国の事情についてTim Callan氏によると、「サービスを開始して間もないものの1,000近い企業・組織が興味を持っており、すでに100近い組織にEV SSL証明書を発行しました。これはFLASHやPDFなど、現在標準的となっている技術が登場したときよりも、早いペースでの普及状況と言えます。調査会社による発表でも2〜3年後に既存のSSLサーバ証明書のほとんどがEV SSL証明書に置き換わるとも言われており、EV SSL証明書が当たり前の時代になるでしょう」と自信をのぞかせた。
また、今後の展開についてさらに「フィッシング詐欺の手口も進化しているため、EV SSL証明書も今後はさらに進化する(Tim Callan氏)」とも述べた。具体的には「さらなるセキュリティの強化、大企業だけでなく中小企業へのEV SSL証明書発行、ソフトウェアの認証のためのコードサイニング証明書への応用、FireFoxなどの対応ブラウザの拡大(Tim Callan氏)」なども検討されているとのことだ。
一方、国内での取り組みはというと、先行して導入が進んでいる海外の情報をいち早く国内の顧客に紹介するとともに、携帯電話やテレビなどの日本独自のプラットフォームへの応用をワールドワイドに訴えていくことを目指しているとのことだ。確かに、国内では携帯電話によるショッピングサイトやオンラインバンキングの利用が一般化しているだけに、この環境でいかにEV SSL証明書を普及させるかが重要だ。業界でのリーダーシップを発揮してもらって、いちはやく安全な利用環境が整えられることを期待したいところだ。
このように、EV SSL証明書の利用によって、企業は自社サイトの信頼性を向上させることができ、利用者に大きな安心感を与えることが可能になる。特にベリサインのEV SSL証明書はその知名度から利用者に与える安心感が大きいうえ、多くのプラットフォームに対応できる魅力がある。EV SSL証明書の導入に限らず、今後の企業サイトには信頼性を高め、ユーザーに安心感を与えることが重要な課題と言える。そして、その努力を怠った企業がユーザーから見放されるような時代が到来しつつあると言えるだろう。
・日本ベリサイン
http://www.verisign.co.jp/index.html