SSL 証明書が“EV”になるワケ ― ベリサインの日米タッグが EV SSL について語る ―

SSL 証明書を EV SSL 証明書にバージョンアップする理由の一つはオンライン、サイバー犯罪が拡大しているからだ。特に、本物に似せて作成した偽装サイトにより、金融機関のログイン画面を模したページで ID やパスワードを盗む、フィッシング詐欺は、ユーザーにとってもオンラインサービス提供企業にとっても無視できない問題だ。そして、フィッシング対策では、サイト運営者が本物なのかということだ。

情報漏洩問題として、 個人情報を盗み出すアイデンティティセフト（Identity Theft）が話題になることもある。国内的にもクレジットカード情報の流出や、顧客情報の漏洩など IT 関連の情報管理の方法が問われている。インターネットはきわめて利便性の高いものであると同時に、「とんでもなく危ない」と考えられるふしもあるほどだ。

EV SSL 証明書を提供する VeriSign のマーケティングバイスプレジデント Timothy Callan 氏は、このような状況で「もう一度オンラインの信頼性を確立しなければならない」と Web サービスの信頼性回復への意気込みを力強く話す。

今回、Timothy Callan 氏と日本ベリサインマスマーケット営業本部長補佐兼マスマーケット営業部長である平岩義正氏に SSL 証明書について、また、EV SSL 証明書の普及状況や長所について話を聞いた。

■EV SSL 証明書にするワケ
同氏によると、毎月25,000から35,000ものフィッシングサイトが新たに立ち上げられているそうだ。一日あたりに作られる数に直すと、およそ1,000の詐欺犯の道具が作られている計算になる。つまり、毎日1,000人がフィッシングサイトを作っているというわけだ。

「フィッシングサイトを作る、それは機能するから、お金を稼げるからだ」と Timothy Callan 氏は話す。「数多くのフィッシングサイトが出てくることでカード暗号を盗まれ、情報を盗み出された人だけではなく、次に被害にあうだろうと恐怖を感じることであれば被害者だといえる」とも被害の拡大、隠れた被害者にまで及ぶ脅威について話す。

それだけではない。フィッシング詐欺そのものや、詐欺の風評は、直接の被害者だけではなく、企業のブランドや信頼をも傷つけることになりかねない。

フィッシングサイトの被害は1,000人の24％の消費者がオンラインショッピングを全く行わなくなってしまうのだ（Timothy Callan 氏）。この失われつつあるオンラインサービスへの信頼性を取り戻すための取り組みのひとつが「EV SSL 証明書」で、SSL 証明書と同じく閲覧しているサイトが本物であることを証明する機能を果たす。

オンラインバンキングサービスの ID やパスワードを偽サイトつまりフィッシングサイトに入力する前に、サイトが本物であることを確認するというわけだ。

しかし、SSL 証明書だけがフィッシング対策の方法ではない。セキュリティソフトの中には、URL 参照することにより不正規なサイトへのアクセスを除外したり、画像キャプチャと参照によりフィッシングサイトかどうか見分けるといったソリューションや研究結果も存在する。

この点を質され、Timothy Callan 氏は「まず最初に言いたいのは、EV SSL 証明書が唯一のフィッシング対策というわけではないということだ。さまざまなソリューションを複合して用いることができる。例えば、ツールバーのインストールにより利用できるようになる URL フィルタリングのような機能はすでに存在するフィッシングサイトを検出することができる。ただ、このサイトをすでに知っていないといけない」と応じる。

また、「ひとつ米国の例でいえばフィッシングをプロテクトするツールで、自分の登録ページなどに画像を自分の画面上に貼り付け、自分の登録したサイトの画像を比べてフィッシングサイトを取り出すというものがある。しかし、これは使用者自体が画像を張っていることを忘れてしまうことがある。サイトを構築している HTML に対応するものであれば、いかようにも操作できるので機能しない側面がある」（同氏）と Web サイトの補いきれない構造的なセキュリティの限界を指摘する。

■EV SSL 証明書の“EV”とな何なのか
EV SSL 証明書と SSL 証明書は何が違うのだろうか。“EV”は、“Extended Validation”の略で、直訳すると“拡張された認証”だ。つまり、SSL 証明書を拡張したものが EV SSL 証明書だ。

では、何が拡張されているのか。一般ユーザーにとっての違いというのは、「グリーンバー」が表示されるかどうかという相違がある。その裏側では、実際には EV SSL 証明書には厳格な認証プロセスを経ている、その一部がブラウザに出てくる。企業の名前がブラウザに出てくるというところに違いは支えられている。



ただし、過去の SSL 証明書が陳腐化しているわけではない。SSL 証明書も EV SSL 証明書も、古いブラウザでも新たなブラウザでも機能する。ベリサインの SSL 証明書の価値が下がったわけでなく、300万枚証明書を発行している。ベリサインのシールも表示している。機械的な認証ではなくユーザーが使用するところで違いを認証する必要があった、基準の厳格化もひとつの変化ではある。

EV SSL 証明書は、業界標準として作られたもの。過去の証明書は業界標準でなかった。さまざまな標準があった SSL 証明書に業界として統一的なものを創造したことに意義があるという。

では、EV SSL 証明書は具体的に何が違うのか。証明書による承認は、Web サイトの閲覧者の使用しているブラウザのインターフェイスを変化させることで、ユーザーに閲覧中のサイトが本物であることを知らせる。本物の Web サイトを閲覧しているブラウザ（EV SSL 証明書に対応している必要がある）のアドレスバー部分を緑に変化させグリーンバーとして表示し、ブラウザに組織の名称も同時に明らかにする。

Timothy Callan 氏はこの点を強調し、「この URL 部分に表示されるグリーンバーとブラウザで表示される組織名を明らかにする。組織名は証明書から直接生成されるもので、これはブラウザが生成するわけでも、HTML により生成されるわけでもない。そのため一目瞭然で確認することができる。さらに、グリーンバーの部分はフィッシングサイトの作成者には操作できない。ここを操作することがフィッシングサイトを作成するというのが最も効果的な方法なのではないのでしょうか」とEV SSL 証明書について話す。

同氏の解説によると、EV SSL 証明書に対応したブラウザの普及も進みつつあるそうだ。

まず、IE（Internet Explorer）7だ。いわずと知れた、Microsoft の Web ブラウザだ。Market Share の調査によると、世界的な普及率は46.5％、国内に限って言えば36％（impress R＆D）だそうだ。そして、Firefox。先日、最新版が公開され、24時間に最も多くダウンロードされた Web ブラウザとして Firefox3.0はギネスにも認定された。普及率は、全世界で2.3％（Market Share）、日本では3.5％（impress R＆D）となっている。他にも、Opera が EV SSL 証明書に対応している。



IE と Firefox のシェアを足し合わせた普及率は、世界では48.8％とおよそ50％、日本では39.5％とおよそ40％になる。単純に考えて、世界のインターネットユーザーの半数が、国内的には4割が EV SSL 証明書を導入している Web サイトを閲覧した時にブラウザのインターフェイスの変化を経験する計算だ。

■ユーザーエクスペリエンスと投資対効果
VeriSign では、このユーザーの体感するブラウザ上の変化について興味深い調査を公表している。それは、グリーンバーの意味するところ、ユーザーがどのように反応するのかということについての調査だ。Timothy Callan 氏も「これを知ることに非常に大きな意味があった」と調査についてコメントした。

紹介されたのは、米国でインターネットショッピングユーザー384人に実施したグリーンバーの捉え方についての調査。公表された結果によると、100％のユーザーがグリーンバーのサイトに気づいているそうだ。また、99％のユーザーがグリーンバーが表示されるサイトをで個人情報の入力を許諾すると回答、さらに、一度グリーンバーを目にしたユーザーの77％が「グリーンバーが表示されないサイトでは買い物をためらう」と回答している。

同社は、日本でも同様の調査を行っている。同調査によると、EV SSL 証明書を採用している企業について尋ねたところ、76%の個人が採用企業に対しオンラインセキュリティに対する意識が高い企業であると認識しているという。61％がログイン名やパスワード等の大切な情報を入力するサイトにおいては EV SSL 証明書が例外なく必要であると回答しているそうだ。

同社は独自のグリーンバーの効果を表すもの効果測定の実験をした。13の企業、4か国さまざまな業種、オンラインショッピング、金融系、一般的なサービス、無名に近いサイトから有名なサイトまで実験したそうだ。すると、EV SSL 証明書を採用した場合、登録など最後まで登録するまでのレートが増加、同時にドロップレートが低下した。実際に低減した数％から87％までの上昇がみられたというわけだ。

そして、世界5大企業とされている企業えあるHSBC、GE、Bank of America、JPMC、ING Group という錚々たる企業がEV SSL 証明書による安全性の強化に努め、世界的には6,000以上のサイトでも導入されている。

EV SSL 証明書の恩恵を浴するのは何も大企業だけではない、というのが VeriSign の強調するところだ。中には、投資対効果が4万8,000％にもなる企業も存在する。イギリスの家具販売のEコマースサイトである Dwell.co.uk では、証明書の導入により、成約率が13.8％向上したという。IE 7 を利用するユーザーと他のブラウザのユーザーに比べると1万8,000ポンドも上昇する。他方、毎月37.5ポンドしか費用がかからない。これを計算すると、費用に比べそのリターンは480倍にもなるというわけだ。「合法的にこれほどのリターンを得るのは非常に難しい。有名でないサイトほど見返りが大きくなる」と Timothy Callan 氏。

■進み続ける EV SSL 証明書
しかし、実際に EV SSL 証明書が全てのサイトで採用されているわけでないことも事実だ。Timothy Callan 氏はこの点について「実際に新しいものが浸透するのは時間がかかる。もうひとつは証明書の実装にあたり旧来のやり方や計画を練る段階であることから実装にいたっていないところもある。実際に6,000の企業に証明書が採用された速さも、フラッシュや PDF といった有名なアプリケーションと同くらいの速度で進んだのではないか。フラッシュや PDF がユーザーにとって便利、そして幅広く利用できる環境があったし、ブラウザの浸透というものがあれば EV SSL 証明書も非常に汎用的である」と普及の状況について話す。

では、今後の普及のためには3つの観点により EV SSL 証明書の普及を図っている。ひとつ目が、ブラウザの普及だ。感覚的にグリーンバーが安全だと認識することから、VeriSign としても年間数億ドルのお金を投じてグリーンバーの意味を告知、有名なショッピングサイト、銀行のトランザクションにグリーンバーの意味を告知している。

二つ目に、メディア対策と顧客への周知だ。米国、欧州、オーストラリアなど、一つの地域でなく、世界中でより多くの機会に EV SSL の価値を伝えるよう努力している。

三つ目には、利用した顧客が彼らの顧客に EV SSL の効果とグリーンバーの意味を説明しているそうだ。Timothy Callan 氏によると「これが最も効果的」だそうだ。前出の HSBC のユーザーは8,000万人、Hotmail のユーザーにいたっては2億5,000万人だ。各サイトでグリーンバーの意味を告知していくという。

普及が進むのは、日本も米国も同じだ。しかし、そのスピードは異なる。Timothy 氏によると、米国市場は日本市場より6か月程度進んでおり、欧米企業の採用は進んでいるそうだ。eBay や HSBC などの告知などもあり、その影響で認知度が向上するということもある。米国では EV SSL 採用非常に進んでいることから、導入する企業側も、最後の EV SSL 証明書導入者にならないように採用を急いでいるようだ。

国内的にも、日本ベリサインが今年に入ってから広告宣伝、セミナーの開催を実施するなど普及を後押ししている。4月以降は、毎週10数名が参加するセミナーを開催し、理解を広げようと取り組む。平岩氏は「このような形をとっているのは EV SSL証明書は久しぶりに大きく変化するためよく知ってもらうため」と説明する。

そして、このような形をとる理由として、SSL 証明書の認証プロセスも少し厳格になったこと、変更点や効果あるいは登録プロセスが変更されたからだという。

大きなセミナーへも順次活動対象を広げており、同社では、Interop や大和証券、日本銀行の金融向けセミナーを行っている。現場レベルでも「金融系大企業の幹部が『EV SSL 証明書導入を躊躇する金融などありえない』と大きなものがある強いコメントを聞いた」と平岩義正氏。国内でも EV SSL 証明書採用の動きは盛り上がりつつあるようだ。今後の展開に注目したいところ。