今や日常的に、調べもの、ショッピング、金融取引など、なにをするにもまずは Web サイトを見ることが、普通となっているかと思います。その際に、Web ブラウザ上部の URL が表示されるアドレスバーを、気に留めたことはありますでしょうか。鍵のマークが付いていたり、あやしげな「保護されていない通信」とか「安全ではありません」というメッセージが表示されていることに、気付いた方も多いのではないでしょうか。
これは、2018 年 7 月の国内市場シェア 52 % を占めるブラウザ Google Chrome において、SSL / TLS 対応がされていない HTTP サイトのアドレスバーに、「保護されていません」と警告を表示するようになったのが発端です。SSL / TLS によって通信が暗号化されていないと、通信中のパスワードや銀行口座番号などのデータが盗まれる可能性があります。ですから、アドレスバーに鍵のマークがある Web サイト以外は、企業名を語った嘘のサイトやフィッシングサイトの可能性があります。お客様に安心して安全に Web サイトを利用していただくために、昨今では会社の Web サイトは、常時 SSL / TLS 化によって鍵のマークを付け、通信の暗号化をおこなっています。
それでは、鍵マークのついた Web サイトは、本当に信用しても良いのでしょうか。実は、そんなに簡単ではありません。SSL / TLS サーバー証明書には、レベルがあります。
SSL 認証には、ドメイン認証(DV)、実在認証(OV)、Extended Validation 認証(EV)の 3 種類の証明書があります。そのうち、DV(無料の証明書などを含む)と OV は、利用者のブラウザで見ても違いがわかりません。鍵がかかっていても、本当にその Web サイトは、その企業が提供している本物の Web サイトなのか、嘘のフィッシングサイトなのか区別がつきません。これでは、利用者に安心して利用してもらえませんね。実に、フィッシングサイトの半数は、鍵マークのついた Web サイトなのです。
そこで、Extended Validation 認証(EV)の出番となるわけです。
EV の SSL サーバー証明書が適用されている Web サイトは、鍵マークの他に企業名が表示されたり、アドレスバーが緑色になります。しかも、EV の SSL サーバー証明書を適用する際には、認証局が実際の企業において、本当に事業がおこなわれているかを確認しています。そのため、お客様からみると、この EV 認証のある Web サイトは、安心して安全に使えることが分かるわけです。(2019 年 9 月 10 日にリリースされた Google Chrome 77 へのアップデートにより、表示される情報が鍵マークのみとなり、どこの組織が運営しているかを確認するためには、表示されているアドレスバーの鍵マークをクリックすることが必要になりましたが、EV の信頼性は変わりません。)
ここで、DV 、OV 、EV の整理をしておきましょう。
ドメイン認証型(DV)とは、ドメイン名が正しいかどうかを認証します。実在認証型(OV)とは、ドメイン名に加え、企業の実在性もある程度認証します。ある程度というのは認証局によっては、会社登記簿の確認もしますが、法人番号の確認だけの場合もあるためです。EV とは、EV SSL 証明書を申請した企業の実在性を厳格に認証します。OV に加えて、実際に電話などで運用実態の確認や申請責任者の所在確認までおこないます。
また、企業の Web サイトを常時 SSL 化することには、大きなメリットがあります。
- Web 表示速度の向上が見込めます。
- 利用者に安心感を与えることで、訪問者数の増加が見込めます。
- 安心感の醸成がおこなわれます。
- 通信の盗聴や改ざん、フィッシング詐欺防止など、セキュリティが強化できます。
- 全てのページが SSL 化されますので、Web アプリの開発効率が向上します。
クレジットカード番号や個人情報など、重要な情報ページのみ SSL 化している Web サイトを見かけますが、これでは、その他の通信を盗聴されたり、改ざんされる恐れがあります。そのため、できるだけ早く自社サイトの常時 SSL 化を進める必要があります。
企業の Web サイトを守るためには、WAF 、改ざん検知、脆弱性診断/管理とともに、常時 SSL 化が必要不可欠となっています。
アイビーシーは、企業の Web サイトを守るためのセキュリティソリューションをご用意しておりますので、ぜひお問い合わせください。
by マーケティング統括部 マーケティング&コミュニケーション部 部長 岩本 幸男