Certification Authority/Browser Forum(以下、CABフォーラム)と日本電子認証協議会は5月12日、同日から2日間にわたって国内で「Certification Authorityブラウザフォーラム」を開催するにあたり、その目的などを説明した。
CABフォーラムは、世界の主要な電子認証局とブラウザベンダーの約40社によって設立された団体。
発表会では、同団体の議長を務めるティム・モーゼス氏が説明を行った。同氏はエントラストの高度セキュリティ技術グループのシニア・ディレクタとして研究・標準化活動に従事し、近年はSSLの信頼性の向上について研究している。
初めに同氏は、同フォーラムの成り立ちについて説明した。インターネット初期は唯一のブラウザであるNetscapeに料金を払ってSSL証明書を乗せていたが、ブラウザが増えて証明書を発行するCA(Certificate Authority)が増えて、証明書の運用の安全性を見直す必要が出てきたという。
「SSL証明書の発行者のアイデンティティの定義が公的に決まっていなかった。そのため、CAによって発行者のアイデンティティの定義がバラバラになり、緩やかなCAもあれば、厳格なCAもあった。結果として、この問題を悪用したなりすましなどの詐欺行為が発生した」
ユーザーがSSLの証明書の発行者の良し悪しを見極めるのは難しいとして、CABフォーラムが立ち上げられた。同フォーラムでは、EV SSL証明書の発行によって安全なインターネット空間を確立することを目指している。
EV SSL証明書を導入しているWebサイトを閲覧すると、ブラウザのURLのアドレスが緑色になるが、同フォーラムの提案に対し、「ブラウザベンダーがインタフェースの変更に同意してくれたのは大きかった」と同氏は語った。
ただ、同フォーラムは米国と英国のベンダーなどが中心になって設立したことから、世界の状況を中立的に反映した運営することは難しく、今回、欧米と日本を中心としたアジアの差を埋めるべく、日本でCertification Authorityブラウザフォーラムが開催されることになったという。
「今回のフォーラムでは、"日本の企業が利用しやすいようにEV SSL証明書を日本の商習慣に合わせること"、"ユーザーにもっと緑色のバナーに注目してもらうためにすべきこと"について話し合う」
日本電子認証協議会の代表理事を務める秋山卓司氏からは、同日の議論の成果について説明が行われた。日本電子認証協議会は日本国内の電子認証関連事業者およびブラウザベンダーから団体で、国内におけるEV SSL証明書の普及するための活動を行っている。
同氏によると、日本企業がEV SSLを導入するにあたって、EV SSL証明書には登記した法人名を組織の名称として含めるが、日本企業の場合はそれが日本語のため何を基準に英語表記の組織名称を含めるのかが決まっていないという課題があるという。
また、定款や金融庁が有するデータベースに登録されている名称を利用するにしても、ローマ字の表記による課題もある。
「日本語の社名をローマ字で表記するにしても、CABフォーラムでは訓令式であるISO表記の利用をルールとしており、ヘボン式を一般的に使う日本のルールと異なる」
これまでのCABフォーラムでは日本の商習慣の特異性については認識していたが、今回話し合うことで、「かなり理解を深めてもらえた。大きな一歩」と同氏は語る。
CABフォーラムでは、マルチバイトの国の中で証明書の市場がトップクラスである日本でEV SSLの仕組みを整備することで、他のアジア諸国でもEV SSLの導入を広めていく構えだ。「日本の次は、台湾、インドでの普及を予定している」(モーゼス氏)
モーゼス氏は今後の方針として、EV SSL証明書の普及に加えて、電子メールとダウンロードするソフトウェアについても安全性を緑色で示すような仕組みを整備することで、インターネットの安全性を高めていきたいと述べた。