日本ベリサインは2月14日、ECC(楕円曲線暗号)に対応する新しいセキュリティソリューションを発表した。ECCとDSA(デジタル署名アルゴリズム)を使用するマルチアルゴリズムSSLサーバ証明書を商用として提供する初めてのCA(認証局)となる。また、日本国内での提供は未定だが、企業と電子商取引向け SSLサーバ証明書管理ツール(Certificate Intelligence Center)なども発表している。
ECCのアドバンテージはどこにあるのか。また、急速に拡大するモバイル機器への対応や課題、今後日本での展開などについて、米シマンテックでSSLビジネスの製品開発部門を率いるエンジニアリングのシニアディレクターであるQuentin Liu氏に話を聞いた。なお、米シマンテックは2012年11月、日本ベリサインを完全子会社にしている。
ECCはRSAよりどこが優れているのか
シマンテック エンジニアリング シニアディレクターのQuentin Liu氏
--今回、商用で初めてECCを採用したSSLのサーバ証明書に対応すると発表しました。市場の反響はどうでしょうか。
エンジニアなので、マーケティング的なところはわかりませんが、パートナーと協力してこのECCを展開していくという意味では、ポジティブな反応をいただきました。皆さんよい反応でした。業界のプレイヤーとして重要な位置を占めていらっしゃるの方々なので、いい反応をいただいたと申し上げられると思います。
--ECCの一番のアドバンテージはどういったところにあるのでしょうか。
ECCとこれまでの暗号技術、たとえばRSAなどと比べると、2つの大きな利点があります。まず、セキュリティ上の利点として、キーのサイズで比較してセキュリティが高いということです。例えばご存じのように、ECCは256bitのSSLサーバ証明書を出すわけですが、それはRSAでいうと3072bitのサーバ証明書に匹敵します。さらに、今非常に多く使われている2048bitの証明書と比べると、ECCの256bitは1万倍近く脅威をシャットアウトできるのです。
もうひとつの利点は、パフォーマンスです。まずウェブサーバの側から見ると、どんな負荷、どんなタイプのペイロードでもいいのですが、処理能力が非常に上がるということです。RSAに比べるとECCを使った場合、SSLのハンドシェイクの時間が非常に短くなります。短くなるということは、ウェブサーバのトランザクションの時間が少なくなり、処理の量が増えるということです。また、デスクトップのブラウザ側から見ると、ECCを使うとhttpsを使ったダウンロードの時間が短くなります。
--ということは、現在急激に拡大しているモバイル機器などにもメリットがあるものではないかと思いますが、一方でブラウザの問題などもあります。普及させるにあたっての課題は何だと考えているのでしょうか。
まず、ハンドセット、スマートフォンなどの携帯機器に搭載されているブラウザから考えると、CPUの処理能力の問題がまだあります。もちろん、ダウンロードの時間は短くなるものの、先ほど申し上げたデスクトップほどドラマチックに上がるわけではありません。ですから、今後モバイルデバイスのCPUの処理能力が増えてきて、パフォーマンスが上がることがもっと採択していただくところで重要になります。
シマンテックとしては、自分たちも使っていますし、シマンテックのためだけでなくお客様にとってもECCが正しいテクノロジと思っており、今後広がると考えています。
--モバイル機器では処理能力が足りないということですが、どの程度まで上がれば十分と考えられるでしょうか。
社内だけでなくてサードパーティの研究員と共に、実際に何倍あればどのぐらい上がるのか、ということは研究しています。面白いことに、モバイルの機器はいろいろなメーカーからいろいろな製品が出ています。正確な情報を取ることが重要と考え、積極的に調査しています。ここで言えることは、モバイル、デスクトップとともにウェブサーバにECCを使えば、確かに機能は上がるということです。
--どんな機器でもパフォーマンスが上がるということでしょうか。
今の段階では、CPUの処理能力と最適化する技術でクライアントを比べると、今のECCの利点はデスクトップで非常に大きいということです。
--ECCの普及には、どの程度時間がかかると考えていますか。
どの程度時間がかかるかを予測するのは難しいのですが、ECCをデスクトップで処理すると、セキュリティとパフォーマンスの両面で高い価値を得られるので、メインストリームになるのは確かだと思います。私たちにとって、またお客様にとっても一番大切なのは、いろいろアルゴリズムのテクノロジがありますが、その中から正しいものを選ぶ“選択権”が与えられることだと思っています。
--普及のためにはどんなことが必要とお考えですか。
これはやはり、どのぐらい商用で出してくる人たちの数が増えるか、ということだと思います。私どもが発表するまで、いわゆる商用のピュアなECCというのがなく、多様性がなかったということが挙げられます。しかし今後はお客様のチョイスが広がるでしょう。SSLが出始めのころと同じような現象が起こると思いますが、いわゆるアーリーアダプターと呼ばれる人たちがまず採択する。それからよりたくさんの人たちが採択する──同じようになっていくと思います。
--まず最初に導入する人たちはどんな人たちと考えていますか?
一番重要になるのは、ウェブサイトオーナーですね。特にMassive Scaleと呼ばれる大量のウェブサーバを抱えている人たち。この人たちにとって利点があると思います。もうひとつのグループとしては、セキュリティに非常に興味がある人たち、そういう人にも使われると思います。そして、デスクトップのパフォーマンスが非常に上がると申し上げました。ですから、ユーザーでそこに価値を認めている人、また自分のユーザーに提供したいと思っている人、そのあたりから広がっていくと思います。
--今回の発表では、SSLサーバ証明書のインストールから更新、アップグレード、失効に至る証明書のライフサイクルを管理するクラウドサービス、「Certificate Intelligence Center」(CIC)も発表されました。
CICは大きな企業、たくさんの証明書を持っている組織にとっては重要になると思います。今まで、たくさん証明書を持っていても、はっきり管理する方法というのはありませんでした。
CICにより、はっきりとそれが見られるようになった。また、管理者から見ると、自動化されたパートが多いのでラクになったと言えます。さらにシマンテックにとっては、証明書の在庫をリストにしただけでは意味がありません。この証明書はキーが弱いよとか、細かいレベルで可視化できるシステムになっていることが重要なのです。