情報セキュリティ管理者“伊藤”の「インターネットセキュリティ」講座-2
2015.04.01
前回のコラムでは、サーバ証明書による「暗号化通信」について説明しました。その後、「https/鍵マーク」に目が向くようになりましたか?銀行のインターネットバンキングや大手通販サイトなどは「https/鍵マーク」から始まるアドレス(URL)になっていたと思います。「https/鍵マーク」のないホームページでお問い合わせフォームなどを利用した情報の送信にはご注意ください。
「https/鍵マーク」で確認できること
たとえSSLで通信を”暗号化”していたとしても、情報の送り先が偽物のホームページだったら大変です。インターネットはすべて「非対面」の世界ですから、ホームページの身元確認が欠かせません。
このホームページの身元確認、存在証明の方法として「ドメイン認証」と「実在認証」の2つが挙げられます。
ドメイン認証とは?
このように「ドメイン認証」は暗号化通信と同様に、サーバ証明書が有している基本的な機能となります。ただしドメイン(=URL)とその所有者を認証しているだけなので、個人が所有するURLでもサーバ証明書を発行することができます。
実在認証とは?
実在証明には商業登記などを利用することもありますが、帝国データバンクのCOSMOS2のような企業データベースに収録されているかで判断するケースもあります。サーバ証明書の世界的なトップブランドであるシマンテック社は、日本法人の存在確認に帝国データバンクのCOSMOS2を採用しています。
「実在認証」≧「ドメイン認証」
サーバ証明書を確認してみる
アドレスバーの鍵マークをクリック!
まず、アドレスバーの鍵マークをクリックした後、証明書の表示をクリックします。
その後、詳細タブを開き、サブジェクトをクリックすると詳細が確認できます。
CN欄にURLが、O欄に所有者組織が、L・S・C欄に所在地が表示されます。TDBカレッジの場合、日本の東京都港区にあるTeikoku Databank, LTD.のものであることが確認できます。
緑のアドレスバー(EV証明書)
緑のアドレスバー=より安全性が高い
ところで、皆さんは金融機関のホームページなどで「緑のアドレスバー」をご覧になったことがありますか?
これはEV証明書といい、Extended Validation 証明書を略したもので、サーバ証明書の一種です。EV証明書ガイドラインという指標に則り、従来のサーバ証明書に比べてホームページを運営する組織に対する厳格な審査と確認が行われたうえで発行されるものです。
つまり、EV証明書は「実在認証」以上の審査を経て発行されるもので、信用を重要視する組織のホームページで利用されています。
具体的には、EV証明書の申込担当者について、在籍証明書の提出や、電話による在籍確認、郵便物が到着するのかといった審査を行っており、実在認証以上に組織の存在確認を行っているため、より安全性が高いサーバ証明書ともいえます。
ブラウザによって表示の仕方は異なりますが、「https/鍵マーク」に加えて、「緑のアドレスバー」や「ホームページ運営者の組織名」を表示して視認性を高めています。
「https/鍵マーク」だけに頼る危険性
信頼できるホームページであるかどうか確認するには「アドレス(URL)が正しいか」だけでなく、「その組織が本当に実在しているのか」まで確認する必要があります。その点で「実在認証」や「EV証明書」は組織の確認ができるため、安心できるホームページか、そうではないのかを判断するうえで有効な物差しといえるでしょう。
情報セキュリティ管理者“伊藤”
帝国データバンクプロダクトデザイン部ネットソリューション課課長として、実務を通じて情報セキュリティに関する経験を日々重ねている。
