"信頼できる証明書"とセットのSSLでなければ安全とは言えない

「ネットショップのセキュリティといえば、まずSSLが浮かぶのではないでしょうか。しかしSSLは通信の安全性を確保しますが、必ずしもSSLを使っているサイトならば信頼できるというものではありません」と語るのは日本ベリサイン ダイレクトマーケティング部 マネージャーの大塚雅弘氏だ。

大塚雅弘氏 - 日本ベリサイン ダイレクトマーケティング部 マネージャー。ネットワーク機器ハードウェアメーカーなどの営業を経験した後、2005年日本ベリサインに入社。パートナー営業を経て、2010年1月から現職。サーバからクライアントまで、証明書を活用したソリューションの提案を行う

数年前までは「URLの始まりがhttpsになっていることを確認する」や「アドレスバーに南京錠のマークが表示されていることを確認する」という方法で、SSL通信が使われているかどうかがわかり、ある程度の安全性を確認できた。しかし今や、それだけでは安全性が確認できないのだという。

SSL通信の効果は、通信経路が暗号化されることにある。個人情報やクレジットカード情報を入力した時に、暗号化されない方式で送信すると、通信途中で盗み見される心配がある。これを暗号化しておけば、万が一盗み見されても情報が漏れる心配はない。しかし、これはあくまでも通信中の安全性を確保するだけで、その情報を受け取る受信者が、きちんとした正規の企業であるという証明にはならない。

SSL通信を実現するだけならば、無料サーバでも対応しているサーバが存在する。問題は、通信の暗号化ではなく、正規のサイトであることを示す証明書の存在だ。「EV SSL証明書で保護されているサイトは、対応ブラウザで表示するだけですぐにわかります。このサイトはフィッシングサイトではないだろうか、と一生懸命確認する必要はありません」と大塚氏は語る。

日本ベリサインは電子認証の分野で長年培ってきた実績と技術力があり、それを活かしてインターネットを安全かつ快適なものにするためのソリューションを提供している。そのうちの1つが、ネットショップサイトを初めとする、企業サイト運営者の実体を証明するサービスだ。

SSL証明書にもさまざまな出自のものがある。例えば、世の中には、独自に発行された信頼性の薄い証明書が存在する。こちらは、"オレオレ証明書"と呼ばれる場合もあり、信憑性には問題があると言わざるをえない。また、簡易な審査で取得できる非常に低価格なSSL証明書も存在する。こちらは、イントラネットなど、適しているケースもあるが、公の人が利用するサイトでは適していると言い難い。

やはり、広く利用者に公開されたサイトで利用されるSSL証明書には、日本ベリサインがおこなっているような、厳格な審査を行って発行されるSSL証明書が望まれるのだ。「第三者機関ともいえる、中立の認証局がきちんと審査した証明書でなければ意味がないのです。その点、日本ベリサインには15年の実績があり、厳格にきちんと企業を審査し、正規のサイトであることを証明することができます」と大塚氏は語る。

ユーザーが目で確認できるわかりやすい安全性

日本ベリサインの顧客となるのは、基本的に企業だ。しかし一般ユーザーに向けての啓蒙活動も行っている。ネットショップでの事件を漫画でわかりやすく解説しながらEV SSL証明書の認知を図るコンテンツや、フィッシングサイトを本物のサイトを見分けるポイントを説明したクイズなどがそれだ。

特に、フィッシングサイトを見分けるためのポイントを説明したクイズは、ある程度ネットには詳しい、自分は騙されないと考えている人にはぜひ挑戦してみて欲しい。思っている以上に本物にそっくりで、想像以上に見分けるのが大変だということがよくわかるはずだ。

ある程度の知識と意識が、この2つのうち片方は偽物だ、という確信をもって探せば、かなりの偽物が見破れる。しかし、そのような人でも、ネットショップで買い物をする時、そこまで真剣に相手を見極めようとする人は少ないだろう。すなわち、「見てわかる」、「明らかにわかる」ということは非常に重要だ。

そして、エンドユーザーのためだけでなく、ネットショップ側にとっても自社の信頼性を目に見える形でアピールすることは、Webビジネスを営むうえでの必須条件と言える。実際、ベリサインの顧客の中には、EV SSL証明書を入れたことでユーザーが増え、売り上げが伸びた企業もあるという。

さらに、本物のメールと偽物のメールを見分ける方法についても要望は高い。「ある調査では、メールの90%以上はスパムメールだと言われていますが、その中から必要なものだけを拾い出し、さらにそのメールが本物であるかどうかを見極めるというのはなかなか大変です。日本ベリサインではメールの真偽を見分けるソリューションも提供しています。ぜひ広く使われるようになって欲しいですね」と語る大塚氏は、6月30日開催の「ジャーナルITサミット~2010Webセキュリティセミナー」でウェブの信頼感を向上させるための、ユーザー視点のセキュリティについて講演する。

最新の事故や事例を交えて、EV SSL証明書で保護されたサイトの具体的な見え方、安全なサイトを確認するためのポイントやユーザーへのアピール力がある効果的なソリューションなどについて詳しく知りたい方は、ぜひ足を運んで欲しい。