これまでのレポートでお伝えしてきたように、PKI（公開鍵暗号方式）を活用した電子認証のしくみの中でも、一般ユーザーに最も身近なものがSSL（Secure Socket Layer）です。これは、インターネット上で情報を暗号化するプロトコルで、電子商取引を行う際にサーバ⇔クライアントPC間でクレジットカード情報などの機密性の高い情報を安全にやり取りする際に用いられています。

例えば、通常ウェブサイトのトップページからログイン画面やネットショッピングの購入ページに入ると、URLが「http://」ではなく「https://」が表示されると思いますが、これがSSLに対応しているという印です。
こうしたSSLに保護されたサイトの中で、アドレスバーが緑色になるものがあることにお気づきでしょうか？　これが、より厳格な認証プロセスのもと発行されたEV SSL証明書です。EV SSL証明書を利用しているサイトではInternet Explorer 7.0、Firefox3、Opera9.5以上のブラウザでアクセスした場合、アドレスバーが緑色に表示（一部の場合もある）され、会社名や認証局ベンダーも表示されます。これにより厳格な審査を通ったSSLサーバ証明書を利用していることを視覚的にアクセスユーザーが認知できるようになっているのです。

そもそも、こうしたEV SSL証明書が登場してきた背景として、SSL証明書を発行するための認証基準が業界で統一されておらず、またエンドユーザーが容易にサイトの信頼性を確認できる方法がなかったという状況がありました。
そのため、アドレスバーは「https://」になっているものの、南京錠マークの表示のみではエンドユーザー側から見てSSL通信が行われるサイトなのか、またどんなレベルの認証に基づいてSSL証明書が発行されているかが分かりにくいという課題が指摘されてきました。?そのような中で、マイクロソフト社が声掛けを行い、世界の主要な認証局ベンダーとブラウザベンダーが賛同する形で、「CA/ブラウザフォーラム」が2005年に設立され、エンドユーザーとウェブサイトをより安全に結びつける手段の検討を進める過程でEV SSL 証明書の概念が形成され技術仕様・認証基準の検討が始まりました。

そして2007年、EV SSL 証明書の発行要件を規定するEV SSL証明書ガイドライン※第1版が策定され認証局ベンダー各社が、EV　SSL 証明書の発行を開始しました。EV SSL 証明書を発行するために認証局ベンダーは、EV SSL証明書ガイドラインに準拠できていることの第三者認定をクリアしなければならず加えてこのガイドラインへの準拠認定には、米国公認会計士協会とカナダ勅許会計士協会が定めた、認証局運営の信頼性・安全性などの基準である「WebTrust for CA」の認証もあらかじめ取得していることが必須のため「CA/ブラウザフォーラム」で策定したルールを単に自主的に遵守するだけでなく、第三者機関によるお墨付きに裏打ちされた厳格さも兼ね備えていると言えます。ちなみに、このEV　SSL 証明書の技術的側面に若干言及すると、証明書にEV SSL 証明書であることを識別する情報が組み込まれておりこの証明書を使用したサイトへアクセスしたエンドユーザのブラウザがこの情報を認識しアドレスバー部分が緑色に変化する等EV SSL 証明書としての表示を行うようになっています。

現在、この「CA/ブラウザフォーラム」に参加しているGMOグローバルサイン株式会社をはじめとする認証局ベンダー39組織およびブラウザベンダー7組織は、定期的なミーティングを開催し、日常的にもインターネットの安全性向上に向けてさまざまな取り組みを行っています。

※CA/ブラウザフォーラムのウェブサイト(http://www.cabforum.org/documents.html) で公開中。ここで「CA/ブラウザフォーラム」参加組織をご確認いただけます。

こうしたEV SSL証明書をはじめとするSSL証明書は、どの認証局でベンダーでも、認証レベルの異なる3種類の全て又は一部をラインアップとして持っているようです。例えば、GMOグローバルサイン株式会社が提供しているSSLサーバ証明書には、「ドメイン認証（クイック認証SSL）」「企業実在認証（企業認証SSL）」「Extended Validation（EV SSL 証明書）」があり、種類によって認証する項目が異なります。

・ドメイン認証（クイック認証）
当社からドメイン所有者のみが受け取れるメールを送信し、申し込みの意思承諾を受けることでドメイン所有者からの申請とみなし、サーバ証明書を発行します。サイト上に問い合わせフォームなどを設置されている会社や個人など、情報のやり取りの暗号化を簡単に導入したい方向けの認証サービスです。

・企業実在認証（企業認証SSL）
ドメインの所有者の確認をWHOISデータベースで照会したうえ、組織の法的実在性を第三者データベース（帝国データバンク・DUNS・職員録）で確認しサーバ証明書を発行します。ウェブサイトの運営組織が架空の組織でないことをアクセスユーザーにアピールし、信頼度をアップしたい企業やeコマース事業者に利用されています。

・Extended Validation（EV SSL 証明書）
ドメインの所有者の確認をWHOISデータベースで照会したうえ、紙ベースの申込書や組織の法的実在性の確認するための公的書類の提出、複数の署名、組織の実運用性を第三者データベース（帝国データバンク・DUNS・職員録）で確認し、サーバ証明書を発行します。EV SSL 証明書は、ウェブサイトの信頼性に配慮する金融機関などで利用されています。

このように私たちGMOグローバルサイン株式会社は、世界各国の認証局、ブラウザベンダーと恊働しながら「EV　SSL 証明書」という概念・技術仕様・認証基準を策定し、より安全なインターネット利用環境の実現を目指してきました。現在、携帯電話を使った電子商取引が増加するなか、各キャリアと協働しながら携帯電話におけるSSL証明書対応推進にも努めていますが、今後、スマートフォン市場が拡大していくなか、携帯電話分野でもEV SSL 証明書を認識・表示できる機能を備えることが求められるのではと思います。


2011.1.26


取材協力：GMOクリエイターズネットワーク株式会社