「SSL化していないWebサイトを対象に,企業のWebサイトの信頼性を担保するサービスを始める」---。PKIベンダーの米VeriSignで認証製品担当シニアVPを務めるFran Rosch氏は2009年8月27日,同社が2010年にサービス開始を予定する新サービス「Certification Service」(証明書サービス)について明らかにした。
Certification Serviceとは,ユーザー企業が自社のWebページに専用のマークを貼り付けることで,Webサイトの信頼性をアピールできるようにするサービスである。主として暗号化通信を必要とする電子商取引などを利用していないためにWebサイトをSSL化していない企業を主な対象とする。SSL(SSL証明書やEV SSL証明書)とは異なる手段で,Webサイトの信頼性を担保する。
マークを発行するまでの過程は,米VeriSignが企業のWebサイトを調べ,合格したWebサイトに対してマークの使用を認めるというもの。調査は1日に1回の頻度で継続して実施し,問題のあったWebサイトからマークを外す措置なども講じる。信頼性の判断条件は,ドメイン名が正しいかどうかや,マルウエアが含まれていないか,など。将来的には,ネットワークやWebアプリケーションの脆弱性検査やプライバシー・ポリシーの検査なども実施する。
米VeriSignでは現在,SSLサーバー証明書を採用したページに貼り付けることでSSL化されていることをアピールできるマーク「ベリサインセキュアドシール」(実装はHTMLタグ)を提供している。今回新たに提供を開始するCertification Serviceでは,SSLを使っていない企業であっても,ベリサインセキュアドシールと同じようにWebサイトにマークを貼り付けることを可能にする。
Fran Rosch氏はまた,クライアント認証のための仕組み作りに注力している点も強調。例えば,OTP(ワンタイム・パスワード)認証の仕組みを,パッケージ・ソフトウエアだけでなくSaaS型サービスとして提供している点をアピールした。SaaS化によって,導入の敷居が下がるほか,複数のWebサイトへのOTP認証を一元化できる,と説明する。また,OTP認証を受けるクライアント側の動向としては,携帯電話端末を利用した認証が急成長しているという。同社でも,iPhone用のOTP認証ソフト「モバイル・クレデンシャル」を2008年から提供中である。
