写真1●米サイバートラストのケリー・ベイリー上級副社長
写真1●米サイバートラストのケリー・ベイリー上級副社長
[画像のクリックで拡大表示]
写真2●米サイバートラストのポール・オルーク 上級副社長
写真2●米サイバートラストのポール・オルーク 上級副社長
[画像のクリックで拡大表示]

 「Windows VistaとInternet Explorer 7の登場によって、オンライン・サービスのフィッシング対策は大きく進歩するだろう。新たな電子証明書であるEV SSL証明書が利用でき、より厳格で明示的なWebサイトの認証が可能になるからだ」。こう語るのは、PKI(公開鍵暗号基盤)サービス大手、米サイバートラストのケリー・ベイリー上級副社長だ(写真1)。

 ベイリー上級副社長の言う「EV SSL(Extended Validation SSL)証明書」とは、現在の業界標準であるSSLの機能を拡張した規格。セキュリティ・ベンダーなどから成る団体「CA ブラウザ・フォーラム」が策定した。サイバートラストは、Vistaの一般向け出荷に合わせて、2月からEV SSL証明書の発行サービスを開始している。

 同社のサービス事業の世界展開を統括しているベイリー上級副社長は、「従来の標準規格であるSSLには問題が多く、オンライン・サービスを認証する規格としては不十分だ」と指摘する。最大の問題は、「発行対象の企業を認証するプロセスが、認証局(CA)ベンダーによって異なること。CAベンダーの中には、いいかげんな認証手続きだけで企業へSSL証明書を発行してしまう事業者も多い。フィッシング詐欺をはたらく架空の組織に対してSSL証明書を発行してしまったケースすらある。結果として、SSL証明書に対する消費者の信頼度が下がってしまった。消費者がオンラインで買い物をしたり振り込みをしたりする際に、そのWebサイトが本実在するかどうか、明確に確認できる手段が必要になっている」(同)。

 そこで、「発行対象となる企業や組織の実在性を、より厳格に認証するためにEV SSLが策定された」(ベイリー上級副社長)。具体的には、CAベンダーが発行対象企業のドメインの存在を確認するのはもちろん、企業の登記簿謄本を確認したり、企業を直接訪問して実在を確認するなど、統一された認証プロセスを踏むという。

 EV SSLでは、証明書の発行主体であるCAベンダーも、AICPA(米国公認会計士協会)などが運営する監査基準「WebTrust」を取得する必要がある。これによって、CAベンダーがEV SSLに沿った厳格な認証プロセスを順守しているかどうかをチェックするわけだ。「EV SSLが普及すれば、中小のCAベンダーの淘汰が進むだろう」(アジア太平洋地域の事業を担当するポール・オルーク 上級副社長、写真2)。

 EV SSLでは、利用者がアクセスしたWebサイトが認証済みであることをブラウザに表示する方法も規格化している。具体的には、IE 7などの対応ブラウザでEV SSL証明書の発行を受けているWebサイトにアクセスすると、ブラウザのアドレス表示部分が白から緑色に変わるようにした。セキュリティ・ベンダーなどが公開している「ブラックリスト」に載っているサイトだったり、EV SSL証明書の期限が切れていたりする場合は、赤色になる。SSLでは、小さな錠前アイコンの形が変わるだけで、見分けづらかった。

 すでに日本では、三菱東京UFJ銀行やみずほ銀行、三井住友銀行のメガバンク3行やヤフーなどが、EV SSL証明書の検証を開始している。オルーク上級副社長は、「米国の金融業界では、今後3カ月以内に、EV SSL証明書の採用が急速に進むだろう。多少のスピードの違いはあるかもしれないが、全世界で今後半年くらいの間に、EV SSL証明書への移行が進んでいくと考えている」と語る。

 日本では、サイバートラスト(旧ビートラステッド・ジャパン)や日本ベリサインなど10社から成る日本電子認証協議会が2月に発足。同協議会が、日本の法規制などに合わせた認証プロセスのガイドライン策定やEV SSL証明書の普及・啓蒙を進めていく。早ければ3月中にも、認証プロセスのガイドラインを策定。このガイドラインを基に、サイバートラストなどの会員企業が4月にもEV SSL証明書の発行サービスを開始する予定だ。