クラウド、スマホ時代の新しいSSL証明書サービスとは

特集特集

2012年7月19日（木） 08時00分

「常時SSLとは全てのページをSSLで暗号化するものです」日本ジオトラスト株式会社の上杉謙二氏

　仮想化によるドメイン数の増加や、Wi-Fi接続のスマートフォンやタブレットPCの普及、そして個人情報を扱うソーシャルサービスの急拡大によって、SSL証明書を取り巻く環境と利用者のニーズが変化を迎えている。

　こうした状況を受け、イードが5月に実施した「イード・アワード2012 SSL証明書顧客満足度調査」で、日本ジオトラストが総合満足度1位となった。そこで、同社の上杉謙二氏に日本ジオトラストの概要やサービスの差別化ポイント、今後の展開などについて話を聞いた。

――最初に、日本ジオトラストの事業概要を教えてください。

　ジオトラストブランドのSSLサーバ証明書は、全世界で150ヵ国、10万以上の組織や団体で利用されています。世界第2位のSSLサーバ証明書発行認証局であり、低価格SSLサーバ証明書市場では世界最大です。一方、日本国内では、2006年に日本ジオトラストが国内最大手である日本ベリサインの100％子会社になりました。ベリサイングループになったことで、証明書の発行体制や運用体制がさらに安定しております。

――SSL証明書のニーズはどのように変化していますか。

　SSL証明書には、SSL技術によって情報を暗号化する機能と、ウェブサイトを運営している組織や団体が本物であるかどうかを示す企業の実在性の証明の機能があります。インターネット上でやり取りされる情報の多くは平文と呼ばれるテキスト情報で送受信されるため、その通信経路で情報を盗み取られるリスクがあります。そこでSSLによって情報を暗号化することで、万が一情報が盗聴されても解読できないようにするのです。

　最近では、パソコンからだけでなく、スマートフォンやタブレット端末からサイトにアクセスし、ログインすることが当たり前になっています。しかし、そこで入力するIDやパスワードをはじめとする個人情報は、ユーザ側で暗号化することができません。つまり、サイトを運営する側がWebサーバに予めSSL証明書をインストールしておく必要があります。こうした個人情報を含むデータを安全にやり取りするために、SSLに対応したサイトを利用したいというニーズも高まっており、日本ベリサインが調査した結果（註1）では、83％以上のインターネットユーザが「個人情報を入力する際には必ず暗号化が必要」と回答しています。

　例えば、ECサイトがSSLに対応していなかったことで買い物をあきらめるというユーザも少なくありません。これは逆に言えば、SSLや企業の実在性をアピールすることによってサイトの信頼性やブランド力を高め、売上を向上できる可能性も高くなるということになります。もはやSSLは当たり前になりつつあり、「対応するかどうか」よりも「どのようにインターネットユーザに安全性をアピールするか」という段階になっています。

――ジオトラストのサービスの差別化ポイントはどこでしょう。

　ジオトラストのSSL証明書は、おかげさまで2年連続で国内純増数1位（註2）を獲得しました。大きな特長は「低価格」「最短2分のスピード発行」「複数サーバでも追加ライセンス無償」「携帯端末・スマートフォンへの高い対応率」の4つが挙げられます。加えて、ベリサイングループであることの堅牢な証明書の発行・運用体制があげられます。特に追加ライセンス無償機能は負荷分散環境など複数のサーバを同時に運用している場合に大幅なコスト削減になります。さらに携帯端末は、95.7％、スマートフォンは100％と国内最大手のベリサインに次ぐ対応率です。また、証明書の無償再発行や30日間の完全返金保証など、導入後もスムーズに運用できるサービスをご用意しています。

　ジオトラストのSSL証明書の製品ラインナップは、大きく2つあります。ひとつは、認証とよばれる発行審査をオンラインで実施するため、最短2分と短期間で証明書を発行する「クイックSSLプレミアム」。もうひとつは、登記事項証明書やドメインの所有権などをきちんと確認することでウェブサイトの運営企業が実在していることを証明する企業認証型証明書「トゥルービジネスID」です。いずれの製品も低コストながら、SSLの対応率などの機能を充実させること、またSSL証明書の発行・運用体制はきちんと堅牢に保つこと、そしてお客様の声を常に取り入れてサービスに反映しております。

――SSL証明書の利用用途が変わりつつあります。「常時SSL（Always on SSL）」とはどういうコンセプトですか。

　今年2月に米国で開催されたセキュリティ関連イベントのなかでGoogleやTwitter、Facebookなどが参加したパネルディスカッションによる「常時SSL」が話題になりました。常時SSLとは、ログインページや決済ページなどの従来から暗号化が必要とされているページだけでなく、サイトのすべてのページをSSLで暗号化するというものです。その理由には、まずWi-Fiの拡大があります。スマートフォンやタブレット端末がWi-Fiに標準対応しているほか、携帯ゲーム機やデジカメ、モバイル無線ルータ、さらにはテザリング機能などWi-Fi対応機器が急増したこと、またホテルや空港、カフェなどの公衆無線LANサービスも充実してきました。

　一方で、Firefoxのアドオン「Firesheep」などCookieに含まれる利用ユーザのセッション情報を簡単に盗み取ることができるツールが登場し、特にフリーの公衆無線LAN（ホットスポット）では、アカウント情報の窃取のリスクが高いことが指摘されています。この対策として、全てのウェブページをSSL化してCookieのユーザ情報を安全にやりとりする常時SSLは、最も簡単に設定可能なセキュリティ対策の1つとして挙げられます。実際にTwitterでは、2012年1月にすべてのユーザに常時SSLを提供開始し、https はすべてのユーザのデフォルトオプションとなりました。3月にはログイン後の google.co.jpも常時SSLに対応し、その動きはさらに加速しつつあります。

――日本ジオトラストの今後の事業方向性は。

　このような拡大するWi-Fi環境に伴い、インターネットユーザがよりセキュアな環境で安心してアクセスできるよう、ウェブサイト運営者への常時SSLの認知向上と対策の理解活動を実施して参ります。また、ジオトラストのSSLサーバ証明書はサーバの追加ライセンスが無償のため、全ページSSL化によるコストが抑えられること、ベリサイングループならではの堅牢な証明書発行・運用体制をアピールしていきたいと考えております。また、企業認証型SSL証明書の発行スピードをさらに短縮するなどのサービス向上も実施していきます。

　また、2011年にいくつかのSSL証明書を発行する認証局が攻撃・ハッキングされ、偽のSSLサーバ証明書が発行されるという事件が発生しました。この事件をきっかけに各認証局にはより厳格なサーバ証明書発行業務遂行が求められています。こうした背景から2012年7月に、認証、セキュリティ、監査、証明書の仕組みなど、認証局が守るべき基本要件をまとめた「Baseline Requirement」が発効されました。日本ジオトラストは、上記基本要件に準拠する体制はもちろんのこと、引き続き厳格な認証を行って参ります。

――最後に、イード・アワード受賞の感想を一言お願いします。

　大変嬉しく思っています。総合満足度で1位をいただけたのは、全体的なバランスやコストパフォーマンスが評価していただけたポイントではないかと思っております。また、常にお客様の声を聞いて改善するPDCAをしっかりと回してきたことが大きな要因とも考えております。これからも、お客様のニーズにいち早く応えられるよう、サービスの向上に努めたいと思っております。

――ありがとうございました。

※1　日本ベリサイン株式会社「インターネットセキュリティに関する意識調査」（2010年12 月）
※2　Netcraft調べ（2012年1月）

スマホ時代のSSL証明書の新しいあり方

《編集部@RBB TODAY》

PickUp

Scan PREMIUM 会員限定記事

Scan PREMIUM 会員限定記事特集をもっと見る

クラウド、スマホ時代の新しいSSL証明書サービスとは

特集特集

関連記事

Scan PREMIUM 会員限定記事

医療・教育・金融・保険・公共～産業別の個人情報漏えいリスク（The Register）

シリアの病院爆撃、遠隔医療支援時の英国人医師PCから情報窃取か（The Register）

ロシアが世界に仕掛ける「ハイブリッド戦」の鍵となる自称民主主義とサイバー戦闘力

Adobe Flash Player の Primetime SDK における Use-After-Free の脆弱性（Scan Tech Report）

投資家向けにセキュリティ対策状況を開示すべきか、悪用を恐れ開示しないべきか～英上場企業実態（The Register）

暗号を民主化した男～64歳現役ハッカー15の未来予測

カテゴリ別新着記事

関連記事

Scan PREMIUM 会員限定記事

医療・教育・金融・保険・公共 ～ 産業別の個人情報漏えいリスク（The Register）

シリアの病院爆撃、遠隔医療支援時の英国人医師PCから情報窃取か（The Register）

ロシアが世界に仕掛ける「ハイブリッド戦」の鍵となる自称民主主義とサイバー戦闘力

Adobe Flash Player の Primetime SDK における Use-After-Free の脆弱性（Scan Tech Report）

投資家向けにセキュリティ対策状況を開示すべきか、悪用を恐れ開示しないべきか～英上場企業実態（The Register）

暗号を民主化した男～64歳現役ハッカー15の未来予測

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

長期休暇における対策を紹介、偽セキュリティソフトなどの相談事例も（IPA）

マインクラフトユーザーを狙ったマルウェア問題への対策を実施(Mojang)

Oracleが複数製品のクリティカルパッチアップデートを公開（JPCERT/CC、IPA）

「不正アクセスで支払い方法を変更された」ソフトバンク騙るフィッシング（フィッシング対策協議会）

「Drupal」の脆弱性を狙うアクセスの増加を確認（警察庁）

ECサイト構築システム「EC-CUBE」に任意の操作を実行される脆弱性（JVN）

インシデント・事故 記事一覧へ

豊洲市場都民見学会の当選者宛のメール38名分を誤送信(東京都中央卸売市場)

メール誤送信で49名のメールアドレスが漏えい(下関市)

「はるか夢の址」アップロード者3名を逮捕、昨年逮捕された9名と共謀（ACCS）

メールアカウントを不正メール送信に利用された件で、再発防止策を発表（GSX）

消費者啓発員へ依頼通知の際、38件の個人情報記載の名簿を誤同封（堺市）

内視鏡手術画像データ他126名の個人情報含む外付HD紛失（相模野病院）

調査・レポート・白書 記事一覧へ

2017年のDDoS攻撃、ビットコイン投資家増の韓国が標的に（CDNetworks）

子どものスマートフォン利用、16.2％は何らかのトラブルに遭遇(東京都)

WebサーバやCMSの脆弱性を悪用する、送信元を秘匿した攻撃が一時的に増加（ラック）

2017年に盗難・漏えいしたデータ数は前年比89％増加の26億件（ジェムアルト）

Spring Frameworkにおける、リモートOSコマンド実行の脆弱性を検証（NTTデータ先端技術）

54％のWebアプリ、32％のホストにMedium以上の脆弱性--診断レポート（ラック）

研修・セミナー・カンファレンス 記事一覧へ

サイバーインテリジェンス入門～マキナレコード軍司氏講演

初心者向けハッキングハンズオン研修が盛況

エンドポイントへのサイバー攻撃を実体験するハンズオンセミナー開催、ジャパンネット銀行 CSIRT リーダー岩本氏 基調講演

トップとビリで売上3倍差！セキュリティへの取り組みが命運を分けた Hardening 2017 Fes

過去10回の総括、そして未来を見据える「Hardening 2017 Fes」

CASBのダークサイド ～ その誤解と導入後の課題

製品・サービス・業界動向 記事一覧へ

UTM内蔵ネットワークストレージの新製品、機密データを守る新機能を搭載（村田機械）

「i-FILTER」と「m-FILTER」をクラウドサービスとして提供（デジタルアーツ）

認証アプライアンスをクラウドサービス化、私物端末の検出にも対応（ソリトン）

IoTシステムを構成するエッジやデバイスで不正な接続・通信を可視化（NEC）

外出先でもデバイスを保護、IoT家電にも対応するWi-Fiルータを発売（エフセキュア）

米SymantecとNTTセキュリティ協業

おしらせ 記事一覧へ

サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊

[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました

[配信予告] あの方に今年の Black Hat USA 2017 の見どころを聞きました

[配信予告] 新連載「Heart of Darknet - インターネット闇の奥」開始のおしらせ

[配信予告] 新連載「ペネトレーションテスターは見た！」開始のおしらせ

ScanNetSecurity 創刊 18 周年の御礼

医療・教育・金融・保険・公共～産業別の個人情報漏えいリスク（The Register）

脆弱性と脅威記事一覧へ

インシデント・事故記事一覧へ

調査・レポート・白書記事一覧へ

研修・セミナー・カンファレンス記事一覧へ

エンドポイントへのサイバー攻撃を実体験するハンズオンセミナー開催、ジャパンネット銀行 CSIRT リーダー岩本氏基調講演

CASBのダークサイド～その誤解と導入後の課題

製品・サービス・業界動向記事一覧へ

おしらせ記事一覧へ