インターネットの利用にかかるセキュリティリスクが増大している。不正アクセスや通信傍受によるデータ窃盗、マルウェアを利用したコンピュータ破壊や遠隔操作、フィッシングサイトによる個人情報の収集などといった被害は後を断たない。企業のWebサイトそのものが書き換えられて悪用される事例や、ソーシャルネットワークサービスを活用して個人情報の傍受やフィッシングサイトへの誘導を行う事例も多数報告されている。そのような中で、企業が自社サービスに対する安全な利用手段を提供することは、ユーザを守るためにとどまらず、会社全体の信用を得るために不可欠な要素である。
日本ベリサイン株式会社(以下、ベリサイン)は国内で16年に渡り、認証局サービスを中心とした情報セキュリティ強化に関するソリューションを提供してきた。同社の認証局サービスは金融サービスなどの大規模システムから小売アプリケーションにいたるまで幅広く使用されており、インターネットにおける情報の流通を支えるセキュアなインフラの構築に貢献している。米国シマンテック・コーポレーションの資本下に入ったことで、4月からは世界で、信頼性と認知度の高い「ベリサインシール」を「ノートン ™ セキュアドシール」に刷新する予定でもある。引き続きサーバの安全性を確保し、企業をサポートするための取り組みを、どのように展開していくのか。同社でSSL製品本部本部長を務める平岩義正氏と、ラックホールディングス株式会社でサイバーセキュリティ研究所主席研究員を務める新井悠氏が対談した。
認証局自身が信頼を得るために何をすべきか
日本ベリサイン
SSL製品本部
本部長 平岩義正氏
新井:ソーシャルネットワークサービスでもセッションハイジャックなどによる個人情報の傍受に対するリスクが懸念されるようになりました。そんな中で、昨年世界最大のSNSであるFacebookにおいても、常時SSL化をユーザーが選択できるようになりましたが、このような状況を専門家としてはどのように見ていますか。
ラックホールディングス
サイバーセキュリティ研究所
主任研究員 新井悠氏
平岩:ソーシャルネットワークの場合には、ウェブページを表示する際、ユーザ識別子をcookieに格納し、通信する仕組みを採用しています。その通信経路を常に暗号化しておくことでcookieの値を第三者に盗聴されないようにしておく、つまり「なりすまし」を防ぐ必要があるのです。なりすましが横行すれば、ソーシャルグラフと呼ばれる個人間のつながりの情報も盗まれ、容易に悪用されるでしょう。このユーザ識別子を狙った攻撃は、サービスの重要性が高まれば高まるほど、防止するのは当然な方向かと考えます。TwitterやGoogle+は、すでにデフォルトで常時SSL化済みです。
実はベリサインでも数年前に自社のサイトを全面的にSSLに切り替えるということをやりました。そのときに通信の遅延など利便性が損なわれるのではないかといった懸念の声もありましたが、実際にはそのような影響はありませんでした。すべてのサーバを対応させるのは決して簡単なことではありませんでしたが、ベリサインとしてはSSLの専門業者として、フィッシング対策とセッションハイジャック対策の見本としても、サイトの安全性をどのように確保するか実践する責任があると考えました。
新井:認証局の責任という点では、昨年は認証局のセキュリティが特にクローズアップされた年と言えますね。オランダの大手認証局が不正アクセスに遭って、偽のSSLサーバ証明書が大量に発行された(『DigiNotarへのハッキング、FacebookやCIAなども影響か--証明書被害は500件以上に』参照)。認証局に対する信頼を脅かす結果になってしまったわけですけど、ベリサインでは顧客の信頼を得るためにどのような取り組みが必要だと考えていますか。
平岩:正直な話、SSLサーバ証明書を発行する事業そのものを始めることはそんなに難しくはないわけです。サーバー1台あればSSL証明書は発行できます。しかしそれがパブリックネットワークで使える本当の意味で安全なSSL証明書にはなりえません。実際にしっかりと運営している企業はごく一握りではないかと思います。認証局が安全かどうかを見極めるためには、その認証局の運営方法が信頼できるものかどうかをちゃんと確認しなくてはいけません。それにはまず認証局の運営方法などが書かれたCPS(Certification Practice Statement)を確認する必要があります。中にはCPSが数枚という認証局もありますが、ベリサインのCPSは読むのが大変なくらい細かくて分厚いものになっています。ベリサインでは「認証」という事業の運営に対して、何が必要かを納得できるまで徹底的に突き詰めて取り組んできました。分厚いCPSはそのストイックな姿勢の現れでもあります。
もちろんいくらCPSがあったとしても、それに則った運営になっていなければ意味がありません。結局のところ、認証局の安全性というのは持っているインフラの信頼性であったり、テクノロジーであったり、それに関与している人材の質であったり、諸々がすべてバランスよく動いていなければ成り立たたないわけです。私たちがやるべきことは、それらを分かりやすくお客様に提示することだと考えています。なぜ「ベリサインならば安全」と言えるのかをはっきり示さなければいけません。お客様にとって、認証局を信頼するためにはまず何を確認したらいいのか。確認のためのコストをどうやって下げていくか。そういった啓発や仕組み作りの部分まで含めて自らが積極的に取り組んでいく必要を認識しています
新井:偽証明書だけでなく、ウィルスに証明書が悪用されるという事例も出ていますが、これについては何か対策を行っていますか。あとDNSSEC(DNS Security Extensions:DNSのセキュリティ機能拡張)のようなIP空間そのものに対する取り組みなどもお聞きしたいのですが。
平岩:ウィルスなどについての対策としては、情報のリアルタイム性が重要になります。いかに素早く失効できるかということですね。失効情報を確認するためのOCSP(Online Certificate Status Protocol)への対応はもちろん徹底してやっています。シマンテックの傘下に入る前には、ベリサインのルートDNSにOCSPを載せてリアルタイム性を追求するという取り組みもやってきました。そういった対策は今後もさらに強化していくつもりです。
DNSSECに対してSSLサーバ証明書が使われるという方向にはまだなっていないと認識してますが、いずれはそうなって欲しいという思いはあります。SSLは20年近く使われているので、そういう完成度の高い技術を、サーバに限らずいろいろなノードに活かすというのは自然な流れだと思います。
