企業認証サービス基盤の強化へ---日本電子認証協議会(JCAF)

日本国内の主要な電子認証局およびブラウザベンダーが発起人となって、有限責任中間法人日本電子認証協議会(英文名称：Japan Certification Authority Forum [略称：JCAF])は、2007年1月30日に設立された。今後、企業におけるサーバー証明書のスタンダードになりうるであろう、EV-SSL(Extended Validation Secure Socket Layer)について設立1周年を控えたJCAFの理事に聞いた。

●協議会発足に至るまでの経緯

　世界の主要な電子認証局(CA)とブラウザベンダーなど20数社によって米国に非営利団体CA / Browser Forum(CABF)が設立された。CA各社に幅広い裁量が認められていた、SSL証明書発行審査プロセスを見直し、より厳格な認証プロセスの要件定義と標準化を行うことを目的に設立されたCABFは、審査発行に関する外部監査を義務化したEV (Extended Validation)ガイドラインの制定を行った。これがEV-SSLの誕生だ。

　EV-SSLは、SSL証明書の審査発行基準の標準化と、エンドユーザーに一目でわかる仕組みのことで、Windows Vista＋Internet Explorer 7(IE7)でEV-SSLが導入されたサイトにアクセスすると、アドレスバーが緑色で表示される。詳細は「VistaとIE7がもたらすもの(EV-SSL編)」を一読いただきたい。

日本電子認証協議会
代表理事
（日本クロストラスト株式会社
代表取締役）
秋山 卓司氏

　「EV-SSLは英語圏を意識したガイドラインであった為、日本市場は意識されていなかった。このガイドラインに基づくと、日本では発行できない基準だった。この問題を日本の電子認証局各社が個別に交渉するのは大変であり、また世界基準のEV-SSLのローカライゼーションが日本では運用基準や、審査発行基準が各企業によって異なるのはこれも問題なので、電子認証局8社とブラウザベンダー2社で、EV-SSLが適用されるVistaの発売日2007年1月30日に日本版CABFとなる、日本電子認証協議会(JCAF)を10社で設立した」

　JCAFは先ずガイドラインの翻訳と、日本でも発行できるようにCABFに働きかけること、日本へのローカライゼーションに2007年は努めた。2008年はEV-SSLの重要性、日本における普及啓蒙活動に努めるという。その一つのきっかけとなるのは、2008年2月13日に予定されているWindows UpdateやMicrosoft Updateによる、IE7の自動更新の配布だ。EV-SSL対応ブラウザはIE7の他に、Mozilla Firefox3がある。またOperaも予定しており、主要なブラウザベンダーの参加が、JCAFのEV-SSL普及啓蒙活動を加速させるだろう。

●日本におけるEV-SSLの重要性

日本電子認証協議会
理事
（サイバートラスト株式会社
取締役COO兼CFO）
加藤 顕氏

　「いまだに個人情報を取り扱うサイトでも、サーバー証明書を導入していないサイトが見受けられるので、サイト運営の知識レベルを全て揃えることはなかなか難しい。しかし、通常サーバー証明書が必要であり、重要だということは徐々に広まってきていると感じています。これを一段上げて、EV-SSL証明書が信頼をより担保するものに役立っていくことを啓蒙することがJCAFのチャレンジです」

　昨今SSL証明書がフィッシングサイトに悪用されるケースが発生している。SSL証明書には大きく分けて組織の実在を審査して発行されるものと、ドメインの所有者に対して発行されるものがある。利用範囲の拡大とともに発行基準が多様化する一方、エンドユーザーには、その区分が一目ではわかりにくい状況にある。実在証明がわかりにくいことが、フィッシングサイトに悪用される事態につながっているのではなかろうか。これがEV-SSLならば解消される。重要なのはウェブと実在する企業を結ぶ一つの証明をEV-SSLが担うということだ。

●アメリカと日本の比較

日本電子認証協議会
理事
（日本ベリサイン株式会社
執行役員
営業本部長　兼
営業本部マスマーケット営業部長）
礒貝 幸一氏

　「ベリサイン社での米国と日本の市場でのEV-SSL証明書の発行枚数と普及率の伸びを比較すると、米国市場の方が日本より半年程度先行していると考えています。米国では幅広い業種・用途で採用が広まり始めており、まさに爆発的な普及の前段階であり、今年が大きなターニングポイントになると考えています。金融機関等でのフィッシング対策の有効な手段としてもEV-SSLが認知されはじめており、大きな流れが生まれると考えています。」

　EV-SSLが日本で普及していない問題は次の3つだ。先ずWindows Vistaの浸透が遅い点。次にIE7の浸透が遅い点が考えられる。米国では既に自動更新によるIE7の配布が行われている。また日本ではホームページ側のIE7への対応サイトが遅れているのも要因となっている。まだIE7には未対応というサイト告知が見受けられている。普及を阻害しているであろう最後の点はEV-SSLが、携帯電話のブラウザに未対応ということだ。これは携帯電話からウェブにアクセスする頻度が高い、日本の事情に起因している。

●今後の活動予定

　携帯電話をはじめとして、日本が先行している分野を世界に提案できるようJCAFを活動していきたいと秋山代表理事は言う。3年をめどに、JCAFからEV-SSLについて世界に発信することができるのか、先ずは半年後、日本におけるIE7の浸透度合いの状況が一つの目安だろう。企業認証サービス基盤の強化へ、他の団体との提携も強めていく考えだ。