クラウド、スマホ時代の新しいSSL証明書サービスとは

　2012年2月に米国で開催されたセキュリティ関連イベントのなかでGoogleやTwitter、Facebookなどが参加したパネルディスカッションによる「常時SSL」が話題になりました。

特集特集

2012年7月19日（木） 08時00分

「常時SSLとは全てのページをSSLで暗号化するものです」日本ジオトラスト株式会社の上杉謙二氏

　仮想化によるドメイン数の増加や、Wi-Fi接続のスマートフォンやタブレットPCの普及、そして個人情報を扱うソーシャルサービスの急拡大によって、SSL証明書を取り巻く環境と利用者のニーズが変化を迎えている。

　こうした状況を受け、イードが5月に実施した「イード・アワード2012 SSL証明書顧客満足度調査」で、日本ジオトラストが総合満足度1位となった。そこで、同社の上杉謙二氏に日本ジオトラストの概要やサービスの差別化ポイント、今後の展開などについて話を聞いた。

――最初に、日本ジオトラストの事業概要を教えてください。

　ジオトラストブランドのSSLサーバ証明書は、全世界で150ヵ国、10万以上の組織や団体で利用されています。世界第2位のSSLサーバ証明書発行認証局であり、低価格SSLサーバ証明書市場では世界最大です。一方、日本国内では、2006年に日本ジオトラストが国内最大手である日本ベリサインの100％子会社になりました。ベリサイングループになったことで、証明書の発行体制や運用体制がさらに安定しております。

――SSL証明書のニーズはどのように変化していますか。

　SSL証明書には、SSL技術によって情報を暗号化する機能と、ウェブサイトを運営している組織や団体が本物であるかどうかを示す企業の実在性の証明の機能があります。インターネット上でやり取りされる情報の多くは平文と呼ばれるテキスト情報で送受信されるため、その通信経路で情報を盗み取られるリスクがあります。そこでSSLによって情報を暗号化することで、万が一情報が盗聴されても解読できないようにするのです。

　最近では、パソコンからだけでなく、スマートフォンやタブレット端末からサイトにアクセスし、ログインすることが当たり前になっています。しかし、そこで入力するIDやパスワードをはじめとする個人情報は、ユーザ側で暗号化することができません。つまり、サイトを運営する側がWebサーバに予めSSL証明書をインストールしておく必要があります。こうした個人情報を含むデータを安全にやり取りするために、SSLに対応したサイトを利用したいというニーズも高まっており、日本ベリサインが調査した結果（註1）では、83％以上のインターネットユーザが「個人情報を入力する際には必ず暗号化が必要」と回答しています。

　例えば、ECサイトがSSLに対応していなかったことで買い物をあきらめるというユーザも少なくありません。これは逆に言えば、SSLや企業の実在性をアピールすることによってサイトの信頼性やブランド力を高め、売上を向上できる可能性も高くなるということになります。もはやSSLは当たり前になりつつあり、「対応するかどうか」よりも「どのようにインターネットユーザに安全性をアピールするか」という段階になっています。

――ジオトラストのサービスの差別化ポイントはどこでしょう。

　ジオトラストのSSL証明書は、おかげさまで2年連続で国内純増数1位（註2）を獲得しました。大きな特長は「低価格」「最短2分のスピード発行」「複数サーバでも追加ライセンス無償」「携帯端末・スマートフォンへの高い対応率」の4つが挙げられます。加えて、ベリサイングループであることの堅牢な証明書の発行・運用体制があげられます。特に追加ライセンス無償機能は負荷分散環境など複数のサーバを同時に運用している場合に大幅なコスト削減になります。さらに携帯端末は、95.7％、スマートフォンは100％と国内最大手のベリサインに次ぐ対応率です。また、証明書の無償再発行や30日間の完全返金保証など、導入後もスムーズに運用できるサービスをご用意しています。

　ジオトラストのSSL証明書の製品ラインナップは、大きく2つあります。ひとつは、認証とよばれる発行審査をオンラインで実施するため、最短2分と短期間で証明書を発行する「クイックSSLプレミアム」。もうひとつは、登記事項証明書やドメインの所有権などをきちんと確認することでウェブサイトの運営企業が実在していることを証明する企業認証型証明書「トゥルービジネスID」です。いずれの製品も低コストながら、SSLの対応率などの機能を充実させること、またSSL証明書の発行・運用体制はきちんと堅牢に保つこと、そしてお客様の声を常に取り入れてサービスに反映しております。

――SSL証明書の利用用途が変わりつつあります。「常時SSL（Always on SSL）」とはどういうコンセプトですか。

　今年2月に米国で開催されたセキュリティ関連イベントのなかでGoogleやTwitter、Facebookなどが参加したパネルディスカッションによる「常時SSL」が話題になりました。常時SSLとは、ログインページや決済ページなどの従来から暗号化が必要とされているページだけでなく、サイトのすべてのページをSSLで暗号化するというものです。その理由には、まずWi-Fiの拡大があります。スマートフォンやタブレット端末がWi-Fiに標準対応しているほか、携帯ゲーム機やデジカメ、モバイル無線ルータ、さらにはテザリング機能などWi-Fi対応機器が急増したこと、またホテルや空港、カフェなどの公衆無線LANサービスも充実してきました。

　一方で、Firefoxのアドオン「Firesheep」などCookieに含まれる利用ユーザのセッション情報を簡単に盗み取ることができるツールが登場し、特にフリーの公衆無線LAN（ホットスポット）では、アカウント情報の窃取のリスクが高いことが指摘されています。この対策として、全てのウェブページをSSL化してCookieのユーザ情報を安全にやりとりする常時SSLは、最も簡単に設定可能なセキュリティ対策の1つとして挙げられます。実際にTwitterでは、2012年1月にすべてのユーザに常時SSLを提供開始し、https はすべてのユーザのデフォルトオプションとなりました。3月にはログイン後の google.co.jpも常時SSLに対応し、その動きはさらに加速しつつあります。

――日本ジオトラストの今後の事業方向性は。

　このような拡大するWi-Fi環境に伴い、インターネットユーザがよりセキュアな環境で安心してアクセスできるよう、ウェブサイト運営者への常時SSLの認知向上と対策の理解活動を実施して参ります。また、ジオトラストのSSLサーバ証明書はサーバの追加ライセンスが無償のため、全ページSSL化によるコストが抑えられること、ベリサイングループならではの堅牢な証明書発行・運用体制をアピールしていきたいと考えております。また、企業認証型SSL証明書の発行スピードをさらに短縮するなどのサービス向上も実施していきます。

　また、2011年にいくつかのSSL証明書を発行する認証局が攻撃・ハッキングされ、偽のSSLサーバ証明書が発行されるという事件が発生しました。この事件をきっかけに各認証局にはより厳格なサーバ証明書発行業務遂行が求められています。こうした背景から2012年7月に、認証、セキュリティ、監査、証明書の仕組みなど、認証局が守るべき基本要件をまとめた「Baseline Requirement」が発効されました。日本ジオトラストは、上記基本要件に準拠する体制はもちろんのこと、引き続き厳格な認証を行って参ります。

――最後に、イード・アワード受賞の感想を一言お願いします。

　大変嬉しく思っています。総合満足度で1位をいただけたのは、全体的なバランスやコストパフォーマンスが評価していただけたポイントではないかと思っております。また、常にお客様の声を聞いて改善するPDCAをしっかりと回してきたことが大きな要因とも考えております。これからも、お客様のニーズにいち早く応えられるよう、サービスの向上に努めたいと思っております。

――ありがとうございました。

※1　日本ベリサイン株式会社「インターネットセキュリティに関する意識調査」（2010年12 月）
※2　Netcraft調べ（2012年1月）

スマホ時代のSSL証明書の新しいあり方

《編集部@RBB TODAY》