|
|
|
|
|
|
見えてきた効果と課題、EV SSLでWebの安全性はどう変わる?【第二回】
|
|
審査の標準化で何が変わるか
|
|
|
|
EV SSL証明書はどのくらい普及が進んだのだろうか。また、導入による企業のメリットとは何か。日本ベリサイン、マーケティング本部 マーケティング部プロダクトマーケティング プロダクトマネージャの阿部貴氏によれば、意外なメリットと問題が同時に見えてきたという。2回目となる今回は、導入企業や導入を検討する企業を取り巻く状況を紹介する。後半では、新しく標準化された審査内容や、導入を検討する企業が用意しなくてはならない書類などをまとめてあるので参考にしてほしい。
■ 導入状況はまだまだ過渡期
|
日本ベリサイン、マーケティング本部 マーケティング部プロダクトマーケティング プロダクトマネージャの阿部貴氏
|
EV SSL証明書の導入状況はどうか。VerisignのEV SSLでは「3けたの導入実績があるが、それでもSSL証明書全体でみれば0.5%」(阿部氏)と必ずしも多くはない。業界全体としてもまだまだ過渡期といえる。だが、少しずつ普及が広まっているのも事実である。
同氏によれば、「金融系から始まった導入が、最近はeコマースやインターネットサービスなど一般のWebサイトでも進み始めている」という。
現状、みずほ銀行、三井住友銀行、ジャパンネット銀行、スルガ銀行、ソニー銀行、三菱UFJ証券、松井証券、アイフルなどの金融機関のほか、教育機関では昭和女子大学、不動産関連では丸紅、インターネットサービスでは、インテージの家計簿サイト「散財.com」、キー・ポイントのファイル転送サイト「Web File」、トライコーンのメール配信システム「AUTOBAHN」、オンライン生花店の「イーフローラ」、BIGLOBEのWebメールなどで導入されている。
企業の導入が本格化するのは、おそらく一般消費者におけるEV SSL認知率がある程度高まってからだろう。こうした先進事例がそのための呼び水となる。グリーンバーを目にする機会が増えれば、一般消費者におけるEV SSLへの評価につながり、企業にとってEV SSLを導入するメリットが今以上に明確となる。となれば、導入はおのずと進んでいくはずだ。
しかし現状は、一般の周知に向けた業界の体制が不十分。日本ベリサインでも一般への啓発活動を行っているが、「2007年は期待するほど進まなかった。2008年には対応Webブラウザが増えるにつれ向上したが十分ではない」と述べている。日本電子認証協議会という普及団体もあるが、こちらも業界への周知がメイン。一般消費者への啓発という点ではやはり十分ではないという。何かしら、一般の認知を加速する団体などが必要とされている。
■ 導入企業では実益につながる効果も
では、企業における導入メリットとは何であろうか。まず一般消費者に安心感を与えられる点が大きい。Webサイト上で個人情報を入力する不安を、アドレスバーの緑色は解消してくれる。また、不安を解消するだけでなく、実際のセキュリティレベルとしても従来のSSL証明書よりも高く、このことがWebサイトへの信頼感を生み出す。企業にとっては大きな効果であろう。さらに海外では、こうした効果にとどまらず、EV SSL証明書の導入が実益につながったケースも聞こえ始めているという。
「英国でオンライン家具販売を行う企業では、EV SSLのグリーンバーを表示したことで、コンバージョン率(Webサイト訪問者数に対して実際に取引に結びついた人の割合)が13.8%向上したという調査結果が出ている。また、IE7を使ったユーザーからの売り上げが、それ以外のWebブラウザを使うユーザーの売り上げより、1万8000ポンドも多かったという。この結果、同企業は、ROI(費用対効果)が4万8000%になったとしている」(阿部氏)。
もちろん、こうした結果にはさまざまな要素が想定され、一概にEV SSL証明書による効果といい切れるものではない。だが同様の効果が、ほかのさまざまな企業からも報告されているというのだ。
例えば、英国の靴・洋服販売ショップでは、コンバージョン率が16.9%向上し、ショッピングカートに移動してからの離脱率が44.6%減少したという。また、スウェーデンのインテリアデザインショップでは、2カ月間でトランザクションが8%増加。米国の金融機関でもクリック率が11%増加し、ROIが1万6000%に達したという。
これらが確かにEV SSLの効果であるならば、企業にとって導入の意味は大きい。
■ 審査基準は何が変わったのか
|
認証手続きの違い
|
さまざまな効果が期待されるEV SSLだが、導入するには厳格になった審査をパスする必要がある。では、そもそも何を審査し、従来のSSL証明書の審査と何が変わったのだろうか。
審査の目的は、「企業の実在性」と「申請者の職務権限」を確かめることにある。このためにいくつかの審査項目が定められているのだが、従来のSSLはこの審査項目が認証局によってバラバラで、審査基準が高いところもあれば低いところもあった。EV SSLではこれを統一するため、審査項目のガイドライン化を行った。その上で、いくつかの審査項目を追加することで、審査基準の厳正化を行っている。これら2点が変更のポイントとなる。
念のためにいうと、これらはすべて不当に証明書が取得されるのを防止するためのことだ。厳正化されたといっても、企業規模やWebサービスの内容、その実績などが問われるようになるわけではないので、正当に証明書を取得しようとする企業は、従来通り何も不安になる必要はない。
日本においてEV SSL証明書を取得できるのは、日本に登記のある法人、中央省庁および国の機関、地方公共団体およびその機関、国公立の学校のみ。公共団体以外で法人登記されていない組織や、個人事業者は申請自体が不可能となっている。
■ 「実在性」を確認するための審査項目
|
申請時の審査項目
|
|
認証時の審査項目
|
日本での企業の実在性は、1)ドメイン所有名義、2)企業の法的実在性、3)企業の物理的実在性などによって確認する。
1)では、Whoisデータベースを検索して、EV SSL証明書に含めるドメインの使用権を申請団体が保有しているかを審査。ドメインの所有団体と申請団体が一致しないような場合は、所有団体や申請者へ電話で確認する。また、「ドメインの独占的使用権」を弁護士意見書によって表明するよう求めることもある。さらに、特定のWebページの更新依頼に対して即座に対応できるかどうかも確認する。ただし、所有団体が申請団体の100%親子会社であれば一致しなくてもOKだ。
2)は、申請情報や第三者データベースにより、申請団体が日本国内に本店登記されているか、その内容に偽りがないかを審査する。
そして新たに追加された審査項目が、3)の物理的実在性の確認である。ここでは、申請団体が帝国データバンクのCOSMOS2に登録されているかを確認し、その内容と申請情報の住所などが一致するかを調べる。これで確認できなければ、弁護士意見書により所在地と代表電話番号を表明する必要がある。これまで法的な実在性でのみ審査されていたが、実際に物理的に存在しているかを調べるようになった。これにより、申請団体の実在性確認を厳正化したのがポイントだ。
このほか、事業の実在性も確認する。設立後3年未満の場合などは、金融機関から「口座開設状況に関する証明書」を取得するよう要請。取得できない場合は、弁護士意見書により「口座開設」の表明を求める。また、申請組織を詐称したフィッシングサイト事例が過去に存在しないか、申請組織自体がブラックリストに登録されていないかを確認する場合もあるようだ。
■ 「職務権限」を確認するための審査項目
|
申請責任者への電話確認
|
申請者の職務権限は、まず申請書類として提出する「利用規約同意書」に記載した、申請責任者の氏名・在籍・役職・電話番号が確認される。加えてEV SSLの審査では、新たに「署名権限確認者の在籍と役職の確認」が行われるようになった。
署名権限確認者とは、「申請責任者が組織・団体から申請権限を委譲されていること」を保証する上位責任者のこと。本部長・事業部長職以上の役職でなければならず、「申請責任者確認書」にサインするなどして、申請責任者の職務権限を保証することになる。
認証局は、署名権限確認者が登記情報の「役員に関する事項」に記載されているかを確認。併せて、公開されている代表電話番号から、人事・総務部門などを通し、きちんと署名権限確認者へ電話の取り次ぎが行われるかを確かめる。
「代表番号からの電話」というこの確認方法は、職務権限を確かめる際の1つのポイントとなる。署名権限確認者のほかにも、申請者本人、技術担当者が別にいる場合にはその担当者にも、同様の方法で正しく電話が取り次がれるか確認を行うようになっている。
■ フィッシングサイトでの取得をどう防ぐ?
では、フィッシング詐欺を行おうとする者が、EV SSL証明書を取得しようとしたらどうなるか。まず、個人事業者は取得できない点が、フィッシング詐欺師には高いハードルとなる。また、企業として不正に取得しようとしても、「ドメイン使用権の確認でひっかけることができるし、たとえ発行されてもアドレスバーに表示される運営者名の表示ですぐ露見することになる」と阿部氏は語る。
銀行のサイトをまねてフィッシングサイトを立てても、フィッシングを仕掛ける側が銀行の正式名称でEV SSL証明書を取得するのは難しい。そのため、万一EV SSL証明書が取得できたとしても、アドレスバーに表示される運営者名は、怪しい企業名になってしまうのだ。また審査の中では、企業の与信管理まで行う帝国データバンクなどもかかわってくる。こうしたことを考えると、EV SSLへの移行が進み、発行と同様に導入企業での運用がしっかりと行われる限り、フィッシング詐欺師がつけいるすきは小さいように思える。
しかし、これに関して、現状1つの課題が浮き彫りになっている。詳細は後述するとして、まずは申請および審査に必要な書類を確認してみよう。課題は、この書類の話の中に見い出すことができる。
■ 申請および審査に必要な書類
|
申請と審査に必要な書類
|
申請に必要となる書類としては、まず「利用規約同意書」。申請団体名、申請責任者の氏名・部署名・役職名などを記載し、EV SSL証明書の申請および発行手続きを行う権限を有していることを表明するもので、申請責任者1名につき1枚必要となる。
次に審査に必要となる書類だが、これらは常にすべてが必要となるわけではなく、情報が足りず認証が行えなくなった場合に必要に応じて提出することになる。
代表的なものとして「定款」が挙げられる。EV SSLでは、Webサイトの運営者名として企業の「英文表記名」をアドレスバーに表示する。その英文表記名は、通常「有価証券報告書」に記載されたものを利用するのだが、未上場の場合など金融庁のEDINETから確認できないケースが当然ながら存在する。そこで定款が役に立つ。社会のグローバル化に伴い、企業によっては定款上で英文表記名を定めている場合がある。それを有価証券報告書の代わりとして利用することができるのだ。ただしその際は、定款の原本性を証明するため、代表者印付きの「原本証明」、および代表者印の「印鑑登録証明」が必要となる。
そのほか、申請者の職務権限を保証するものとして「申請責任者確認書」が必要。さらに、何らかの理由で必要な情報がそろえられないときに、「弁護士意見書」で代替とする場合があるのは前述の通りだ。
■ 英文表記名が存在しない場合の問題
さて、以上が審査の流れと必要な書類だが、前述した課題とは、そもそも英文表記名が存在しなかった場合にどうなるかという点だ。阿部氏によれば、「現状、EV SSL証明書は日本語のハンドリングの問題で、Webサイト運営者名に日本語名を表示することができない」という。EV SSLの規格として技術的には日本語表示できるのだが、製品レベルやWebブラウザレベルでの対応が100%ではないためのようだ。そこでアルファベットでの表記が必要となるのだが、有価証券報告書、定款、いずれにおいても英文表記名が確認できなかった場合、「日本語の企業名はローマ字で表記する」(同氏)ことになる。
この場合、第三者データベースで確認できる登記証明書の商号を、あるいは弁護士意見書で表明した商号を、ローマ字表記することになるが、フィッシング詐欺への対応として、これはなかなか痛い問題といえないだろうか。
EV SSL証明書のアドレスバーに表記されるWebサイトの運営者名。それは一般消費者にとって、自分が安全なWebサイトにアクセスしているかどうかの大きな指針となる。それがローマ字表記されていたらどうか。例えば、「インプレス大学」という組織が存在したとして、英文表記名がない場合、アドレスバーには「Inpuresu Daigaku」となるのである。それはそれで、EV SSLとしては正しく機能しているのだが、英文表記名しか表示できないという“技術的な裏事情”を知らないエンドユーザーの目には、まるでフィッシングサイトのように怪しく映りかねない。さらに怖いのは、「ローマ字表記でも正当」という認識が一般に広まったあとだ。この認識を逆手にとって、ローマ字表記のフィッシングサイトが作成できないだろうか、という懸念がわいてしまう。
もちろんそれを防ぐために厳格な審査があるわけだが、EV SSLでWebの安全性を守るためには、やはり、日本語名は日本語で表示できることが望まれる。アドレスバーに表示される運営者名に関して、一般消費者が迷ってしまうような要素はあってはならないのだ。この点は「現状見えている課題」(阿部氏)としている。
このほか、他ベンダ・他業界との連携なくしては解決できない課題がある。次回はそうした課題も含め、EV SSLの普及を行う日本電子認証協議会に話を聞く。特に異質な文化を持つといわれることの多い日本だが、EV SSLにも日本固有の問題点はないのだろうか。その辺りをポイントに現在の普及状況、今後の展望などについて紹介する。
■ URL
日本ベリサイン株式会社
http://www.verisign.co.jp/
■ 関連記事
・ 見えてきた効果と課題、EV SSLでWebの安全性はどう変わる?【第一回】(2008/08/12)
・ 見えてきた効果と課題、EV SSLでWebの安全性はどう変わる?【第三回】(2008/09/01)
( 川島 弘之 )
2008/08/21 10:46
|
|
|
|
|