Enterprise Watch
バックナンバー

見えてきた効果と課題、EV SSLでWebの安全性はどう変わる?【第三回】

普及の壁はケータイ? JCAFに日本の課題を聞く

 日本でのEV SSL導入の進み具合は米国と比べると遅い。発端が米国にあり、次いで日本に上陸する以上、タイムラグは当然なのだが、ほかにも日本ならではの促進阻害要因があるようだ。第三回では、日本の商習慣・法的枠組みに対応した普及活動を行う有限責任中間法人 日本電子認証協議会(以下、JCAF)に、活動方針や課題克服に向けてどう取り組むのか、また今後の展望をどう見るのかなどについて話を聞いた。


JCAFの設立経緯とその役割

JCAF代表理事を務める日本クロストラスト 代表取締役の秋山卓司氏
 フィッシングサイトでのSSL証明書悪用。その原因はもっぱら、技術的仕様はあれど、発行審査プロセスのガイドラインが存在しなかったためだ。このため、審査は認証局ごとにバラバラになってしまった。この問題を解決するために、世界の主要認証局、Webブラウザベンダにより、米国でEV SSLの普及、仕様策定などを行うCA/Browser Forum(以下、CABF)が設立された。

 CABFは2006年10月にガイドラインのドラフトを発表。これに呼応する形で日本でも、国内の認証局8社とマイクロソフト、Mozilla Japanが発起人となり、2007年1月31日にJCAFが設立する運びとなった。

 現在、RSAセキュリティ、エントラストジャパン、グローバルサイン、サイバートラスト、日本クロストラスト、日本ベリサイン、日本認証サービス、マイクロソフト、Mozilla Japanが幹事会員・正会員として参加。2007年からは、賛助会員・特別会員として、帝国データバンク、東京商工リサーチ(TSR)、日本レジストリサービス(JPRS)、インターネット協会、日本ネットワークセキュリティ協会(JNSA)、日本インターネットプロバイダー協会(JAIPA)などが名を連ねている。

 役割としては、第一に国内の商習慣や法的枠組みに対応した認証プロセスの最適化が挙げられる。そのために「認証局の枠を超えて、広く関連業界との共同を図っていく」(JCAF代表理事を務める日本クロストラスト 代表取締役の秋山卓司氏)としており、「今後も官公庁、携帯電話キャリア、調査・監査法人などへの参加・協力を呼びかけていく予定」という。

 もう1つ重要なのが、日本での普及活動。JCAF理事を務める日本ベリサイン 執行役員 営業本部長兼営業本部マスマーケット営業部長の礒貝幸一氏によれば、「現状、都銀はすべて、地銀でも50%のレベルで導入が進んでいる。また、フィッシング対策協議会でもEV SSLの有効性は認められており、意識の面でもある程度浸透し始めている」という。

 だが、日本には海外にはない独自の課題が存在し、本格的な普及を妨げる要因となっている。2006年10月に発表されたドラフトにも、日本だからこその課題が見え隠れしており、「そのままでは日本でEV SSLを発行することはできない状況だった」(同氏)というのだ。JCAFの仕事はこうした課題を1つ1つ解決することから始まった。


JCAF設立の背景 JCAF活動の背景。EV SSLの定着をめざす JCAF幹事会員・正会員一覧

日本事情に見合わなかった草案

 当初のドラフトには、日本事情に反する大きな課題が存在した。もっとも分かりやすい例が、「証明書に記載する組織名と登記情報にある組織名は、完全に一致しなければならないという点」(秋山氏)。一般的にSSL証明書にはアルファベットの企業名が記載される。ゆえに「完全に一致」するためには、登記情報にアルファベットの組織名が記載されていなければならない。

 しかし、日本で登記情報にアルファベットの組織名が使用できるようになったのは(法人種別は漢字のままだが)、2002年の「商業登記規則等の改正」以降。それ以前の企業では、登記情報を見てもアルファベットの商号は見あたらないのだ。このため「このドラフトに従うと、日本でEV SSLは一部の企業にしか発行できないという問題があった」(同氏)。JCAFの最初の仕事は、こうした日本の事情をCABFに伝え、ローマ字表記の記載などを容認してもらうことだった。

 ローマ字表記により、英文表記名を持たない企業でもEV SSLを導入することが可能になった。それでも、完全にこの課題が解消されたわけではない。

 例えば、官公庁などは第三者データベースに登録がないので、ローマ字を使うにしても、別途、ローマ字表記名を表明する「弁護士意見書」が必要となる。ところがこの弁護士意見書がくせ者で、秋山氏によると、「弁護士の多い米国では弁護士意見書は一般的かもしれないが、日本ではあまり利用例がない。弁護士の中には一度も書いたことのない方もいるようで、私自身、この件で耳にするまでその存在を聞いたことがなかった。官公庁などからは、なぜSSL証明書を導入するだけなのに、弁護士意見書を用意しなければならないのかと不満の声も聞こえている」。実際、この手続きには時間もコストもかかるようで、EV SSL導入が頓挫する大きな理由になっているという。

 また第二回で取り上げたように、アドレスバーに表示される運営者名は、そもそもローマ字表記で問題はないのか、という懸念もある。日本語での組織名表示は、証明書に日本語で記述しさえすれば可能という。ところが、日本語で表示すると海外からのアクセス時に正しく表示できる保証がない。このため、今後もローマ字表記は使用するというが、エンドユーザーに混乱を招くことにならないだろうか。

 「運営者名がローマ字表記されているが、これは正しく認証されているのか」。そうした問い合わせが多発しないよう、例えば、アクセス時に文字コードを識別して、日本語表記・ローマ字表記を自動で切り替える仕組みなどが、実装できるのであればそれが望ましい。

 これについて秋山氏は「同等の機能を実現することは可能。ただし、EV SSL側ではなく、Webブラウザ側の機能として実装される必要がある。JCAFとしては、日本語取り扱いについての標準化を提案することにより、このような機能が広くWebブラウザに実装されることを支援したい」としている。

 当初、ドラフトは欧米のしきたりを前提としたもので、日本事情に見合わない問題が多かったという。ガイドラインの翻訳と調整、2007年のJCAFはこうした作業に多くの時間を費やすことになった。


Safariの対応はそれほど悲観しておらず

 国内で普及を阻害する要因としては、「せっかくIE7でグリーンバー機能が実装されても、Windows Vistaも普及が遅いため、EV SSLの導入が進まない」(秋山氏)点も挙げる。「これはXP IE7の自動更新などにより、ある程度見込みが出てきた」(同氏)ものの、そのほかのWebブラウザでの対応状況も普及に向けた大きな課題となっている。

 その1つが、米AppleがCABFに参加をせず、Safariでの対応方針についても何ら公式コメントがない点だ。これは以前から語られている課題の1つで、Appleは依然として、EV SSLについて沈黙を守っている。

 現状、IE/Firefox/OperaでEV SSL対応がなされ、利用されているWebブラウザのうち40%をカバーしているというが、もう1つ主要なWebブラウザとして、SafariがEV SSLに対応するかしないかは重要なテーマだ。「いまのところまだ参加表明はない。その理由についても発表はないが、私個人の考えでは、もしかしたらCABFに入ると何らかの縛りを受けるとAppleでは考えているのかもしれない。実際は何も縛りはないのだが」(同氏)。

 とはいえ、この課題に関しては、それほど悲観的ではないようだ。「いずれ、Appleも対応せざるを得なくなると考えている。その理由は、PayPalが自社のWebサイトでEV SSL未対応のWebブラウザは使うなと、暗にSafariを使うなとも取れるコメントを出しているため。この影響は大きいはずで、Appleも無視し続けるわけにはいかないはずだ」(同氏)。


先が長そうなのはケータイでの対応

JCAF理事を務める日本ベリサイン 執行役員 営業本部長兼営業本部マスマーケット営業部長の礒貝幸一氏
 それよりも先行き不透明な問題が、ケータイ向けブラウザでの対応の方である。JCAFでも、ユニークな日本のケータイ市場の現状を、CABFに伝える努力をしているが、「海外からは見えにくく、CABFでの議論にもなりにくい」(秋山氏)のだという。また、ケータイ市場そのものについては理解があるものの、米国は当事者ではないので……という雰囲気でもあるらしい。

 しかし、まったく進展がないわけでもなさそうだ。

 同氏によれば「ケータイ市場が日本特有である以上、日本で動かないと、何も動きは出てこない。現状、キャリアやケータイブラウザベンダ側でもEV SSLに関するコミットは一切ないが、少なくともPC側での普及、動向は認識している。また、放っておくと海外のスマートフォンで、先にEV SSLに対応するかもしれない。そうなれば、どこかのタイミングでケータイでも対応する必要があるだろう、との思いも抱いているように感じる」という。

 また礒貝氏によれば、「8月に普及促進部会で、ケータイキャリアとブラウザベンダにEV SSLの現状とJCAFの活動を説明する機会をいただいた。我々を含め3者が同じテーブルに着き、話を聞いていただける状況にまでこぎつけたのは大きな一歩。今後も定期的にこういう場を設けていきたい」という。

 問題は、ケータイに実装するための仕様が存在しないことだ。ケータイではPCと処理能力にも差があり、URLを表示するアドレスバーも存在せず、同じ仕様のままEV SSLを実装するのは難しい。では、その仕様をどこが策定するか。キャリアなのか、JCAFなのか。「JCAFでたたき台は作らねば」(礒貝氏)としつつも、現状は次のステップを模索している状況のようだ。

 「キャリアにコミットを求める状況にないが、JCAFの希望としてはできるだけ早く、実装に関してより突っ込んだ議論ができる場を作りたいと思っている」(秋山氏)。

 ただ、一部にはケータイ向けWebサイトのセキュリティ意識の低さを指摘する声もある。ケータイでEV SSLに対応したとして、ケータイのコンテンツプロバイダが即座にEV SSL証明書を導入するかはまた別の問題といえる。これを促進するのは、一にも二にもエンドユーザーの声だろう。エンドユーザーが熱烈にEV SSL導入を要望すれば、コンテンツプロバイダも対応せざるを得なくなる。その日はいつだろうか。現状では、まだまだケータイWebで安全を示す“緑色”を目にできる日は、遠くかすんでいるのが実情だろう。


EV適用範囲の拡大を予定

JCAF理事を務めるサイバートラスト 取締役COO兼CFOの加藤顕氏

今後のロードマップ。EV対応のコードサイニング証明書などが検討されている
 上記の課題以外で、今後のロードマップはどうなっているか。現在、予定しているのが、EV SSL対応のコードサイニング証明書。「アプリケーションが改ざんされておらず、正しい発行元から発行されていることを証明するコードサイニング証明書にも、一部の利用に問題があり、マイクロソフト側でもコードサイニング証明書のEV対応を望んでいる」(秋山氏)という。より厳格に審査されることで、コードサイニング証明書による発行元保証がより確かなものとなる。これは2008年の予定に挙げ、既に取り組みがなされている。

 日本語ドメインもまもなく対応する予定だ。例えば「ドメイン名例.jp」など日本語の含まれたドメインのことだが、現状、日本語ドメインをサーバー証明書に含めるにはいくつかの対応方法があり、統一されていないという。このガイドラインはJCAFがまもなく策定する予定とのこと。

 遅かれ早かれ、EV SSLの普及は進んでいくはず。だが、すべてのSSL証明書がEV SSLに置き換わるものではない。同一企業内・グループ内で閉鎖的にサーバー証明書を利用する際には、今でもドメインの所有権のみを確認する「ドメイン認証」タイプのSSL証明書が発行されている。「これはこれでニーズに応じた必要な発行形式で、その存在が否定されるものではない」(JCAF理事を務めるサイバートラスト 取締役COO兼CFOの加藤顕氏)。

 では、EV SSL証明書は今後どのように浸透していくべきなのか。「少なくとも、不特定サービスではすべてEV SSLを導入するべきだ」と秋山氏は語る。何度も述べているが、そのためにはエンドユーザーにおける認知が何より重要だろう。

 また、若年層の中には、PCよりもケータイを主にWebを利用する世代が生まれつつある。そうした世代を保護するため、アドレスバーだけでなく、PC・ケータイ両方含めてWebの世界全体が緑色に染まる時代が訪れるよう、今後もJCAFの活動に期待したい。



URL
  有限責任中間法人 日本電子認証協議会
  http://www.jcaf.or.jp/

関連記事
  ・ 見えてきた効果と課題、EV SSLでWebの安全性はどう変わる?【第一回】(2008/08/12)
  ・ 見えてきた効果と課題、EV SSLでWebの安全性はどう変わる?【第二回】(2008/08/21)


( 川島 弘之 )
2008/09/01 11:02

Enterprise Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.