• X
  • Facebook
  • RSS

SSLサーバ証明書No.1のグローバルサインに訊く 「認証局としての歩み」と「不正アクセス疑惑への対応」


SSLのグローバルサイン ロゴ

SSLサーバ証明書ならグローバルサイン (旧日本ジオトラスト株式会社)
(※この記事はGMOグローバルサイン株式会社によるPR記事です)

SSLサーバ証明書とは
SSLサーバ証明書は、「通信データの暗号化」と「通信相手の認証」という2つの重要な役目を負っています。暗号化されていることだけではなく、通信相手が「なりすまし」のない信頼できるサーバであることを証明してくれることが、利用者にとって安心感につながります。

座談会出席者

  • 武信浩史氏 GMOグローバルサイン株式会社 常務取締役(写真 中)
  • 浅野昌和氏 GMOグローバルサイン株式会社 グループ技術開発本部 本部長(写真 左)
  • 上野宣氏 トライコーダ 代表取締役(写真 右)

■ 自らルート認証局となることを選択

上野 事業を始めたころの話を聞かせてください。SSLサーバ証明書のどこが魅力だったのでしょうか?

武信 2003年の創業時には、米ジオトラスト社の総代理店「日本ジオトラスト」として出発しました(注:現在の日本ジオトラストは、日本ベリサインの子会社として2008年に設立された別会社)。当時、SSLサーバ証明書を取得するのはかなり面倒で、手続きも分かりづらかった。ところが、ジオトラスト社の商品は取得の手続きが分かりやすく、しかも発行が早かった。従来は1週間から10日かかっていたのが、最速では数分で可能となる。コストも安かった。早い、安い、分かりやすい、この3つがそろっていたのです。

上野 しかし、本国のジオトラストが、業界ナンバーワンのベリサインに買収されてしまったわけですね。

同社にとって大きな転機となったのは、2007年に米ジオトラストが米ベリサインに吸収されてしまったことだ。この時期、同社の幹部は悩み抜いた。結果、自らルート認証局となることを選択し、社名を「グローバルサイン」と変更したのだった。

GMOグローバルサイン株式会社 常務取締役 武信浩史氏

武信 2007年のことです。事業は順調で、売り上げも倍々ゲームで伸びていました。ところが、突然、旧ジオトラスト社の担当者が日本に来て、一緒に食事をしながら「会社をベリサインに売ることになった」と言うのです。食べていたものが喉を通らなくなりました。

 今でこそ「第2の創業」のタイミングだったと感じていますが、当時はもう大変でした。社内で議論も重ねましたが、選択肢は限られていました。その中から、ルートCA(certificate authority、認証局)を自分たちで立ち上げるプランが浮上しました。英国法人のジオトラストUKが、「ルート認証局を買収する」アイデアを持ってきたのです。

 ルート認証局ビジネスは参入障壁が高く、多くのブラウザにルート証明書が入っていなければ、事業として成り立ちません。そこで、ベルギーのグローバルサイン社に注目しました。事業規模はそう大きくなかったのですが、古くからある、つまりたくさんのブラウザが対応した素晴らしいルート証明書を持っている。半年ぐらいかけて、買収できました。

上野 自分たちで認証局を運営するとなると、かなり大変なイメージがありますが。

武信 認証局の運営は特殊なビジネスで、専門的なスキルが必要です。ここにいる浅野(昌和氏)も、技術力を強化するためにちょうどその頃入社してもらったんです。

浅野 直前にジオトラストの売却が決まりました(笑)。

武信 矢先だったのでどうなるかと思いましたが、グローバルサインの買収が決まってからは、中心になってもらいました。

GMOグローバルサイン株式会社 グループ技術開発本部
本部長 浅野昌和氏

浅野 それまで日本ジオトラストでも事前審査はやってきてましたから、持っていたシステムや業務フローを見直し、活用することで、ルート認証局のビジネスをスピーディに立ち上げることができたと思っています。例えば、SSLサーバ証明書を短時間で発行できる「ドメイン認証」のシステムは、以前と同じやり方を踏襲して、システムを作り込みました。

上野 旧ジオトラストの「早い、安い」というメリットは認証局が変わっても継承できて、結果としては良かったんですね。

浅野 当時は1年ぐらい苦しみ抜きましたが、今になって見れば「これをやるためにここに来た」のかと思います。自分たちで認証局を一から作るチャンスは滅多にありません。やりがいを感じる仕事でしたし、スタッフも困難を前に意気消沈するより、「やってやるぞ!」という気概を強く感じました。

■ グローバルサインの証明書を選ぶ理由

上野 グローバルサインのSSLサーバ証明書は早くて安いことが特徴ですが、世の中にはさらに激安の、何十ドルで取得できる証明書もありますよね。そうした激安証明書ではなく、グローバルサインを選ぶ理由は何なのでしょうか。

武信 まず、SSLサーバ証明書を買うことは、会社のブランドや信頼性に直結しますから、エンドユーザーの方が見て不安にならないかどうか。

上野 最近のWebブラウザは、どこのどういう証明書かをより分かりやすく表示するようになっていますからね。昔は鍵マークが出るだけでしたが。

武信 ルート認証局を運用するための要件はブラウザベンダーの団体が定めていますが、年々厳しくなっていて、10年前とでは雲泥の差です。システム的な難しさより、きちんと運用され、公共的に安心して利用していただけるかのハードルが高くなっています。運用面の堅牢さを示すため、WebTrustによる第三者審査も受けています。

 そうした運用面の信頼感と、「早い、安い」のバランスが良いことが評価されて、ルート認証局別シェアNo.1につながったと考えています。日本国内の認証局ですから、日本語によるサポート体制も充実しています。時差もありませんし。

※英Netcraft社が2012年5月と6月に発表した調査結果で、グローバルサインは日本国内のSSLサーバ証明書市場においてルート認証局別シェアNo.1を獲得した。

■ 問題ないことを証明する難しさ

2011年9月、同社にとって大きな試練となる出来事があった。「Comodohacker」と名乗る攻撃者が、オランダの認証局DigiNotar社に不正アクセスを行ったとの犯行声明を発表した。この声明の中で、攻撃を仕掛けたターゲットとしてグローバルサインも言及されたのだ。

上野 2011年のセキュリティインシデントの影響についてですが、DigiNotar社については率直に言ってどう思われました? 認証局が不正アクセスされて、鍵を盗まれてしまったわけですが。

武信 ビジネスも大きくなかったとは思いますが、あのセキュリティ対応には驚きました。ちょっと考えにくい……。

トライコーダ 代表取締役 上野宣氏

上野 犯行声明では御社の名前も挙げられていました。後に出された報告書を拝見しましたが、証明書発行の根幹に関わる部分をハッキングされた事実は、結局なかったということでしたね。ハッキングは私の専門分野でもあるので、調査の大変さが想像できます。不正アクセスがあったことを証明するのは簡単でも、ハッキングがなかったことを証明するのは非常に難しい。

武信 本当に難しい問題です。「ハッキングがなかった」ことを、いったいどうやって証明するのか。当時は、100%の確かさで「ハッキングされていない」とは言えない状況でした。そこで営業を止める決断をしたのです。

浅野 犯行声明で弊社の名前が出たのは、日本時間の夕方でした。それからヨーロッパの事業所とも話をし、「サービスを止めよう」と決まったのは、その日の夜中です。

武信 営業を停止するのは苦渋の決断でした。しかし、そうする以外に選択肢はありません。ビジネス上のインパクトも大きいので、株主やグループのトップにもその日のうちに報告しました。反対意見もなかった。

犯行声明を受け、やむなくSSLサーバ証明書発行業務を停止した同社だが、綿密な調査の結果、同社の証明書発行業務の根幹に関わる部分では不正アクセスの影響はなかったことを検証。結果的にこの一連のプロセスは、同社のセキュリティ体勢をさらに強固なものにした。

浅野 証明書発行の根幹に関わる「ハッキングがなかった」ことがはっきりするまで、全部止める。そして、調べられるところは、すべて調べる。DigiNotar社に残されていた形跡についても情報を入手しました。偽の証明書が発行されていないことも、変な申請が入ってきていないことも、ログを付き合わせて確認しました。その上でどうすれば業務を再開できるだろう? 条件は何だろう? 必死で考えました。

武信 久々に浅野の死相を見ました(笑)。今だから言えることですが。

浅野 結局、ネットにつながる部分を一から作り直しました。認証局の鍵はオフラインにある。これはそのままにして、申請システムや審査システムを、新しいデータセンターに、新しいハードウェアで。(セキュリティ専門会社の)サイバーディフェンス研究所のアドバイスも頂きました。

武信 今では、システムの操作などは、外部のインターネットにつながっていない「クリーンなPC」で行っています。業務的な効率は低下しますが、セキュリティ上の要件を厳しくするため、通常のPCとは切り離しています。

浅野 これは時間がかかる選択で、ビジネス上の影響も大きかったのですが、私たちとしては不安がある状態では業務を再開できません。信頼が最も大事ですから。

上野 ここまで信頼が根幹になったビジネスはありませんからね。

浅野 報告書では「証明書発行事業に影響するようなハッキングはなかった」こと、また偽の証明書が発行された事実はなかったことを報告しました。そういった事実を確認するために、オランダFox-IT社(注:前述の「Comodohacker」による犯罪捜査の一環をオランダ政府から受託した企業)にもシステムを調査してもらいました。

武信 当時は「不正アクセスされた事実はない」ことをすぐに判定できるだけの力がありませんでした。これを反省点としてセキュリティのベースを強化し、今なら同じ事件が発生しても、よりスピーディに対応できるようになっています。

■ CA(認証局)全体の信頼性が高まる

上野 この事件は、他のCA(認証局)にとっても参考になったのではないですか。

浅野 CA/ブラウザフォーラムでも、DigiNotar社への不正アクセスの事件については、みんな異様なほど情報共有に熱心でした。これはCAというビジネスの危機だと。普段は競合する会社同士が、CAビジネスの信頼性を担保するにはどうすればいいか、一丸となって議論しました。

上野 CA全体の信頼性が高まることにもつながりますね。

浅野 セキュリティ基準を半年ぐらいかけて、まとめ上げました。このセキュリティ基準にはブラウザベンダーも従わなければなりません。認証局がハッキングされるとブラウザベンダーも対応が大変なので、利害は一致しています。

 また、発行など運用面だけでなく、ネットワーク構成などに踏み込んだ内容についてもCA/ブラウザフォーラムで話し合い、ガイドラインをまとめています。


■ セキュアでありながら便利

グローバルサインの証明書の特徴は、自動化による迅速な発行が可能なことや、スマートフォン全機種に対応することなどがある。セキュリティと利便性という本来相反する要素を両立させる工夫を進めていることは、同社の大きな特徴となっており、サーバ証明書発行数のルート認証局別シェアNo.1につながっている。

上野 普通のインターネットユーザーには、証明書のことがまだまだ知られてませんよね。ブラウザにルート認証局の鍵が入っていないと使えないことや、安いSSLサーバ証明書では携帯電話のブラウザに対応していない場合があることなどは、けっこう理解されていない。

武信 携帯電話は少しでもデータを節約したいので新しい証明書をなかなか入れてくれません。買ってから、びっくりすることもあるでしょうね。私たちも苦労しましたが、2007年以降に発売されたモデルにはほぼ入っています。

上野 先ほど、分かりやすさ、発行の早さと、きちんとした運用の両方のバランスが大事というお話があったと思います。セキュリティと利便性は相反する場合が多いのですが、利便性に対してはどのような考え方で臨んでいるのですか。

武信 まさに、スピード感やコスト感が、私たちの強みで、そこはいつの時代も一番になるという信念を持ってやっています。証明書の発行を自動化した「ワンクリックSSLサービス」もそうです。サーバの管理者がボタンを押すと、すぐ証明書が入る。

上野 セキュアでありながら便利というのはいいですね。

武信 「ワンクリックでできる」というアイデアを持っている人がいて、それをもとに議論を重ねて実装しました。

浅野 昔の認証局では考えられないことですが、この会社に来て驚いたことに、利便性を追求したサービスを考え出そうとしています。セキュリティレベルを下げずに、どうやって利便性を高めるのか。私自身、今の会社で議論に参加して、それを教わった感じがしています。

上野 コストと利便性とリスクはトレードオフのところがありますから、コストと利便性を良くしつつ、リスクのセキュアな部分を保つのは難しいチャレンジですね。

浅野 SSLを使いたい人は、証明書が欲しいのではなく、セキュアなWebが欲しいわけです。今後も、ホスティング事業者やクラウド事業者などにAPIを提供して、コントロールパネルでSSLサーバ証明書を申し込んでインストールする、といった、より利便性を追求したサービスを作っていきたいですね。

(2012年8月31日、GMOグローバルサイン株式会社にて。撮影 赤司聡)

■ グローバルサインでSSLサーバ証明書を取得してみた

この座談会で、グローバルサインならばSSLサーバ証明書を簡単に取得できることが分かりました。それでは、本当にどれほど簡単に取得できるのか? 本記事を執筆したITジャーナリスト・星暁雄が、実際に取得してみました。

1. クイック認証SSLの取得を開始

グローバルサインでは3種類の証明書のメニューがあります。そのなかでも、ドメイン認証により書類不要なクイック認証SSLを試してみます。CSR(Certificate Signing Request、署名要求)の作成が不要なスキップ申込サービスにも対応しています。

今回は「ページ認証」を選択しました。グローバルサインのWebサイトから「クイック認証SSL(ページ認証)新規お申し込み」ページを開きます。

このページには、申し込み手順が説明されています。「コモンネーム」などの用語に耳なじみのない初心者には、導入のFAQが整備されているのもありがたいです。

「お申し込み」をクリックして、実際の申し込みに進みます。

2. サービスの選択と契約者ユーザ情報の入力

最初の「サービス選択」では、サービス内容(オプションや契約期間)を選択します。

続く「契約者ユーザ情報入力」では、申し込み者の組織名、契約者名などアカウントの情報を記入していきます。後で証明書をダウンロードする際に必要な管理ページ「GSパネル」にログインするIDやパスワードもここで設定します。

3. スキップ申込サービスを利用する

次の「CSR DN情報入力」は、申し込み手続きのなかでも重要なポイントです。ここでは「スキップ申込サービスを利用する」を選択します。

「コモンネーム(CN)」欄には、SSLによる暗号化通信を行いたいサイトのURLの最初のスラッシュ("/")までの部分(FQDN: Fully Qualified Domain Name)を記入します。

また、入力した仮パスワードを忘れないように注意しましょう。

▼ スキップ申込サービス入力内容確認

次の「スキップ申込サービス入力内容確認」で、先ほどの画面で入力した情報を確認します。生成された「PKCS#12パスワード」を忘れずに控えておきましょう。

▼ 認証方法選択

次の認証方法選択画面では「ページ認証」を選択しています。

指定されたMETAタグの内容を、証明書を利用するWebサイト上に置かれたWebページに含めるよう設定します。これによって、SSL証明書の申し込み者が、そのWebサイトの管理者権限を持っていることが確認されます。このページで説明されるMETAタグの設定方法を参考に、自分のWebサイトで設定する手順を確認しておいてください。

▼ 支払方法を選択して確認

次の「支払い方法入力」ページで支払い方法を選択します。

最後に「確認」ページで申し込み内容をチェックして、利用規約に「同意する」をチェックして「完了する」をクリックすると、申し込みの手順が完了します。

4. ページ認証の手順

ここからドメイン認証の作業になります。

まず、申し込み完了時に提供されたMETAタグの内容を、指定されたWebページに設定します。

作業自体は簡単で、提供されたMETAタグの内容をコピーし、SSL証明書を適用したいWebサイトで、指定されたWebページのHEADタグで囲まれた部分に挿入するだけです。

このMETAタグ内の情報を機械的に照合することで、SSLサーバ証明書の申請手続きを間違いなく当事者が実行していることを確認するのです。

▼ メールを確認して承認

先ほど「完了する」をクリックして手順を完了したときに、グローバルサインから承認メールが送信されています。

メールに記載されたURLから「ページ承認」画面を開きます。METAタグの設定方法はここでも確認できます。

内容に間違いなければ「承認」ボタンをクリックします。先ほど設定したMETAタグが確認され、SSLサーバ証明書が発行されます。

5. 証明書のダウンロードとインストール

発行された証明書は、管理ページである「GSパネル」にログイン後、ダウンロードできます。GSパネルのパスワードは、アカウント情報登録時に設定したものです。

ダウンロードしたら、スキップ申込サービス証明書のインストール方法に従ってWebサーバにインストールします。PKCS#12パスワードはここで必要になります。

ここまで、それぞれの手順ごとにスクリーンショットを保存しつつ慎重に作業を進めたのですが、それでも30分以内で取得できました。これほど迅速に作業が完結したことには驚きを感じます。

■ SSLのグローバルサイン おかげさまでNo.1 働くみなさまを応援! プレゼントキャンペーン

グローバルサインは、日本国内のSSLサーバ証明書市場において、ルート認証局のシェアNo.1を獲得しました。そこで感謝の気持ちを込め、オフィスで使えるアイテムのプレゼントキャンペーンを実施しています。

GMOグローバルサイン【公式】| SSL・電子署名・クライアント認証

<応募期間>

2012年10月17日(水)~11月18日(日)

<景品詳細および応募方法>

上記キャンペーンページをご覧のうえご応募ください。

■ はてなブックマーク×Twitter連携でグローバルサインのノベルティをセットでプレゼント!

※以下のキャンペーンは終了しました。たくさんのご応募、ありがとうございました。

記事をお読みの方の中から抽選で10名様に、グローバルサインのノベルティからリール式カードホルダーとTシャツをセットでプレゼントします。この記事を、Twitter連携した上ではてなブックマークに追加すると応募完了です。

応募要項
  • 応募期間
    • 2012年10月17日(水)から2012年10月30日(火)24時まで
  • 賞品と当選人数
    • グローバルサインのノベルティセット:10名様
      • リール式カードホルダー
      • Tシャツ
  • 応募方法
    • Twitter連携した上で、この記事をはてなブックマークに追加
    • ※プライベートモードでご利用の方は対象となりません
  • 当選発表
  • 賞品発送
    • 当選発表後、はてなよりメールをお送りし、送付先情報(送付先住所、受取人氏名、電話番号)をお聞きします

[PR]企画・制作:はてな

文: 星暁雄