Webサイトの安全性は誰が証明する？ “SSL証明書”のデジサートが語る、IoT時代のセキュリティに必要なもの

[PR／ITmedia]

PR

　PCやスマートフォンでWebサイトを見ていると、ブラウザのアドレスバーに鍵のアイコンが表示されたり、「保護」「認証」といった文字が目に付いたりする機会が増えた。近年、ネット上では「情報漏えい」や「なりすまし」といった被害が拡大し、サイバーセキュリティへの懸念が高まっている。

　対策として、個人情報の入力や表示といった、安全性が求められるWebページでは、Webページの運営組織が実在していることを証明したり、通信の暗号化を行ったりするプロトコル（決まりごと）の「SSL（TLS）」を採用している。

　さらに現在は事業者のプライバシー意識の向上に加え、検索結果の上位表示（SEO対策）にも効果があることから、銀行やオンラインショッピングサイトなどだけではなく、全ページで「常時SSL」化を行うのがトレンドだ。

　Webサービスを提供する事業者、Webブラウザの開発者、そして暗号化通信に必要な電子証明書を発行するセキュリティ事業者が協力しながらこの取り組みを推進しており、今やSSL/TLSに対応するWebページの比率は高まるばかり。

　その常時SSL化に必須で、発行には事業者の審査が必要な「SSL/TLSサーバ証明書」には、いくつかの役割がある。最も分かりやすいのは、通信経路での盗聴や情報漏えいを防ぐ暗号化通信機能だろう。

　以前、Wi-Fiの暗号化手法「WPA2」の脆弱性が話題になった際にも、SSL/TLSによる暗号化は有効な対策として挙げられていた。さらに、接続している相手を確認して適切にアクセス制御を行う「認証」、通信内容に改ざんが加えられていないか（中間者攻撃などが仕掛けられていないか）を確認する「改ざん防止」といった対策にも不可欠だ。

　SSL/TLSサーバ証明書は公開鍵暗号基盤である「PKI」技術をベースに、こうした機能を提供してきた。

　このSSL化に欠かせないSSL/TLSサーバ証明書の発行を行ってきたのが米DigiCertだ。同社は2017年10月に米Symantecから、SSL/PKIのソリューションを提供する「シマンテック ウェブサイトセキュリティ」事業の買収を発表。新生DigiCertとして、過去蓄積してきたプレゼンスや技術を生かしながら、グローバルでビジネスを展開している。

　国内でも17年11月に旧シマンテック・ウェブサイトセキュリティの名称を変更し、デジサート・ジャパンが活動をスタート。電子証明書を発行する認証局（CA）の国内設置をはじめ、IoT向けセキュリティソリューションの提供など、日本市場に向けた取り組みを強化する方針だ。

2社の強みを生かし、インターネットにつながるもの全てに安全を提供

　DigiCertと一体化した旧シマンテック・ウェブサイトセキュリティ事業は、95年に設立された旧・米Verisign時代から、2010年の米Symantecによる買収を経て今に至るまで、長年にわたってSSL/PKI事業を展開し、高いシェアを誇ってきた。市場のニーズに応じてより厳密な確認作業を経て発行されるサーバ証明書「EV SSL」や、モバイル機器向けの証明書発行など、サービスの幅を広げている。

　一方のDigiCertは、設立こそ03年とやや遅れるものの、いち早くマルチドメイン証明書を開発したり、証明書の発行プロセスを確認して透明性を確保する「Certificate Transparency」（CT）のログサーバ運用を始めたりなど、技術的に優れたソリューションを展開してきた。15年には米VerizonのSSL/TLS事業を買収してビジネスを拡大した他、急速に普及しつつあるIoT機器向けプラットフォームの提供も開始した。

両社のこれまでの歩み（クリックで拡大）

　この両社が、シマンテックウェブセキュリティの傘下にあったSSL/TLSサーバ証明書ブランド「ジオトラスト」などのサービスも含めて一体化することで、「顧客やパートナーに、より高い価値を提供できる」とジョン・メリルCEOは話す。

米DigiCertのジョン・メリルCEO

　「ナンバー1とナンバー2の企業が互いに強みを補完し合い、より強力な会社になる。これからも、何であろうとインターネットにあるもの全てを守るため、より簡単なプロセスでSSL/TLSサーバ証明書を発行できるようにする」（メリルCEO）

　両社は買収以前から「CA／ブラウザフォーラム」をはじめとする認証局やブラウザベンダーの業界団体に参加し、さまざまな標準作りに加わってきた。買収後も「インターネットをよりよく、より安全なものにするためのイノベーションに努め、さまざまなフォーラムに参加して意見を出し合っていく」（メリルCEO）という方針は変わらない。

　脅威の変化に取り残されないように、分散型ネットワーク技術「ブロックチェーン」をといった新技術にも目を配りながら、IoTも含めたインターネット上のあらゆるものにセキュリティ対策のソリューションを提供すると強調した。

　一方、日本でも3カ所の事業所、100人を超える従業員を通じてサービスを展開する。国内の代理店制度も既存のものを踏襲する。従来からシマンテックやデジサートの証明書を利用しているユーザーは、引き続き同じ販売店から提供される証明書を安心して利用できる。

　さらに、18年中には日本に電子証明書の発行や管理を行う認証局を設置する予定だ。やりとりにおいて本国との時差がなくなるため、証明書発行時の身元確認や、さまざまな手続きがよりスピーディーに行えるなど、サポートを強化できる。証明書の失効状態を確認できるOCSP（Online Certificate Status Protocol）のリストも国内に置く方針で、「真に日本のための認証局を作り、ベストなレベルのセキュリティを提供する」（メリルCEO）という言葉を体現する取り組みだ。

DigiCertの証明書発行基盤に移行し、グーグルの措置に対応　プロセスの透明性を確保する

　DigiCertによるシマンテックの買収を後押ししたのが、WebブラウザのChromeを開発しているGoogleの動向だ。Googleは17年7月に、米Symantecが発行したSSLサーバ証明書への信頼を停止する方針を明らかにしていた。同社の証明書発行プロセスに問題があり、テスト用の証明書が誤って発行されてしまった事実を問題視したからだ。

　9月には、段階的にSymantecの証明書に対する信頼を停止する計画を明らかにした。具体的には18年3月15日から、Google Chrome（バージョン66）のβ版で、16年6月1日以前にシマンテックが発行した証明書の信頼性を停止し、18年9月13日以降は全ての証明書に拡大させるという。

　この動きから間を置かずに発表されたのが、DigiCertによるシマンテックウェブセキュリティの買収だった。買収に伴ってバックエンドのシステムを引き継ぎ、17年末までに証明書の発行基盤もDigiCertのものに移行した。

米DigiCertのジェレミー・ローリーさん（製品担当エグゼクティブバイスプレジデント）

　Googleの措置の影響を受ける証明書は約230万枚に上るというが、「顧客に影響が出ないよう、信頼を引き継げるよう作業している」と、米DigiCertのジェレミー・ローリーさん（製品担当エグゼクティブバイスプレジデント）は話す。今後、ノウハウを集めたナレッジベースなどの形で情報を提供するほか、必要に応じて個別で顧客に連絡し、移行作業を支援しながら、DigiCertのプラットフォーム上で透明性を確保した形で証明書を発行できる機能を拡充するという。旧シマンテックグループが発行した証明書を公開サイトで使っている場合は、自社サイトのドメイン名を検索することで、いつまでにDigiCertのプラットフォームへの移行作業が必要かどうかがわかるオンラインツールも公開されている。

　ローリーさんはこうした取り組みも含め、DigiCertにはバックエンドの拡張性、リーダーシップ、顧客中心主義に基づくシステム設計、信頼性という4つの強みがあると説明した。

　「問題が発生した場合にも透明性を担保し、何が起きたかを開示する」（ローリーさん）

　さらにマルチドメイン証明書など、今後も自動化や標準の改善活動などに取り組みつつ、シンプルで管理しやすい仕組みを提供するという。

　基盤は移行するが、Webブラウザの画面上に表示されるロゴは当面の間、大きな変更が加わることはない見込みだ。従来通り「Norton Secured」のシールを利用し、テキストでも表示する。ただし、今後は日本向けのブランドも含め、顧客にとってより分かりやすい形を検討する。

急速に増加するIoTにもセキュリティを提供

　彼らが今後、特に注力する分野で外せないのが「IoT」だ。今やインターネットにつながるのはPCやスマートフォンだけではない。

　「医療機器や電子レンジ、冷蔵庫など、あらゆるものが接続される。DigiCertでは今、次世代プラットフォームへの投資を進めており、あらゆるコネクテッドデバイスにもセキュリティを提供する」（ローリーさん）

　既にIoT機器がマルウェアに感染したり、ファームウェアにバックドアが仕込まれたりする問題が指摘されている。その解決策の1つとして期待されるのが、IoT機器向けの電子証明書を用いた認証や、デジタル署名を活用した改ざん検知だ。「PKIはデバイスをセキュアにするのに欠かせない技術だ。認証を行い、安全性を担保し、マルウェアの混入を検出して暗号化を実現する」（ローリーさん）

　これらは日本でビジネスを強化する理由の1つでもある。「IoT機器の場合、セキュリティを後付けするのではなく、開発段階からチップなどに組み込むことが重要だ。オプションではなく、はじめからセキュリティが組み込まれる仕組みを日本のメーカーやプロバイダーとともに実現し、簡易かつ自動的にセキュリティプロセスがIoTに適用される世界を実現したい」とローリーさんは意気込む。

デジサート・ジャパンの平岩義正さん（カントリーマネージャー）

　常時SSL化に加え、IoTの世界でセキュリティ基盤のPKIを活用するとなれば、これまでとは桁違いの数の証明書を発行して管理する必要があるため、拡張性に優れたプラットフォームが不可欠だ。デジサート・ジャパンの平岩義正さん（カントリーマネージャー）は、「DigiCertのプラットフォームでは、1つのプラットフォームでコードサイニングもSSLもサポートする上、大量にSSLが必要なときにも対応できる」と自信を持って答える。

　既に570万枚もの証明書を発行している他、毎日50億枚以上の証明書を検証し、毎秒1万1500件ものセキュアなオンライントランザクションを支えているDigiCertのプラットフォーム。それらをさらに強化し、「顧客第一主義と、業界標準への参画で培った経験から、日本のユーザーに満足いただけるサービスを提供したい」（平岩さん）。

　電子証明書の発行を担う米DigiCertならびにデジサート・ジャパンは、徐々に始まっているIoT時代においても、最重要視されるセキュリティ分野で重要な役割を果たすだろう。