デジサート・ジャパンは11月9日、報道機関向けの説明会を開催し、米DigiCert 最高経営責任者(CEO)のJohn Merrill氏が、GoogleによるSymantecのTLS証明書信頼性の問題への対処が完了したことなどについて説明した。
DigiCert 最高経営責任者のJohn Merrill氏
まず、グローバルでの事業概要についてMerrill氏は、同社が元々は、Verisignに由来するSymantecのウェブサイトセキュリティおよびPKI事業を買収したことでグローバルな認証局として最大規模の企業となったことを紹介。この買収は、グローバルで高い知名度を誇ったSymantecと技術面に強みを持っていたDigiCertとの補完的な合併でもあったという。
加えて同氏は、GoogleとSymantecの間で起こった証明書の信頼性に関する問題に関する対応が無事に完了した報告。限られた時間の中でユーザーに悪影響を及ぼしたり、インターネット上のサービスがダウンしたりといった深刻なトラブルを引き起こすことなく、「膨大な数の証明書の入れ替えに成功したことを誇りに思う」と語った。
デジサート・ジャパン カントリーマネージャーの平岩義正氏は、国内事業などについて説明した。イントラネット内部での利用やGoogle Chromeからのアクセスがないなどの理由で、市場にまだ残っているSymantecの証明書に関しては、有効期限が切れるまでサポートする一方、SymantecからDigiCertへのブランドシフトに取り組み、2019年からDigiCertブランドのSSLサーバ証明書の発行も開始するという。また、「大きな成長が見込める」としたIoTデバイス向けサービスの拡充などにも取り組むとした。
Symantec発行の証明書の交換プロセス
また、DigiCert 最高技術責任者(CTO)のDan Timpson氏が、同社の取り組むさまざまな技術的課題について説明した。証明書のライフサイクル管理ソリューションである「CertCentral(サートセントラル)」の日本語版を2019年にリリースする予定だという。この他に同氏からは、研究開発中のテーマとしては、量子コンピュータによる解読に対抗できる「耐量子暗号 PQC」や、「ブロックチェーンのアイデンティティ認証」、マルウェア感染したIoTデバイスに対処するためのマシンラーニングなどを活用した「予測セキュリティ」などが紹介された。
デジサート・ジャパン ジャパンカントリーマネージャーの平岩義正氏
なお平岩氏は、日本ベリサイン時代からこの事業に関わっている立場であり、一方の当事者としての立場から今回のGoogleとSymantecの問題に関して解説してくれた。同氏によると、Symantecで「信頼できない認証プロセスに基づいて不適切な相手に証明書を発行してしまった」といった問題が実際に発生したわけではなく、認証プロセスがどのようなものであるべきかを定めたルールに照らしてSymantecの認証プロセスが適切か否かの議論が行われたという。いわば「法律論」「解釈論」の問題と認識しているとのことだった。具体的に何が問題になったのかという点については、「複雑な問題であり、簡単には説明できない」という。
かつてのVerisignは、業界でもトップレベルの厳密な認証プロセスを策定/運用していることで知られていた。同業他社が信頼性の低い認証プロセスで証明書を発行していることを問題視し、認証プロセスの厳格化に積極的に取り組んでいたという経緯もあり、信頼できない認証プロセスを糾弾する側の企業だった。それだけに、今回のGoogleとの間で起こった問題は奇異な印象を受け、事業売却で問題が完全にクリアされたのかどうかも不明瞭さが残っている。今回のDigiCertによる対応の完了で悪影響を残すことなく今後の事業を展開できるかが焦点になりそうだ。