最新コラムをお届け メールマガジン登録
お問い合わせ
  • TOP
  • コラム
  • 情報セキュリティ管理者“伊藤”の「インターネットセキュリティ」講座-2

2015.04.01

ホームページの運営者は信用できる?

 前回のコラムでは、サーバ証明書による「暗号化通信」について説明しました。その後、「https/鍵マーク」に目が向くようになりましたか?銀行のインターネットバンキングや大手通販サイトなどは「https/鍵マーク」から始まるアドレス(URL)になっていたと思います。「https/鍵マーク」のないホームページでお問い合わせフォームなどを利用した情報の送信にはご注意ください。

「https/鍵マーク」で確認できること

 サーバ証明書は”暗号化”するためだけに機能しているわけではありません。その名のとおり、サーバの存在も証明しています。つまり、そのホームページを運営する会社の身元を確認できる機能を備えているのです。
 たとえSSLで通信を”暗号化”していたとしても、情報の送り先が偽物のホームページだったら大変ですインターネットはすべて「非対面」の世界ですから、ホームページの身元確認が欠かせません
 このホームページの身元確認、存在証明の方法として「ドメイン認証」と「実在認証」の2つが挙げられます。

ドメイン認証とは?

 「ドメイン認証」は、その名のとおり、ドメイン(=URL)の存在について、ドメインおよびその所有者を認証しているものです。例えば、TDBカレッジのサーバ証明書は、TDBカレッジのURLである”www.tdb-college.comの存在”と、”所有者が帝国データバンクであること”を証明しています。
 このように「ドメイン認証」は暗号化通信と同様に、サーバ証明書が有している基本的な機能となります。ただしドメイン(=URL)とその所有者を認証しているだけなので、個人が所有するURLでもサーバ証明書を発行することができます。

実在認証とは?

 一方、「実在認証」は、そのURLの所有者組織が法的に実在しているのか?を認証しています。所有者組織が法的に実在しているという点で、実在証明のサーバ証明書は法人だけが取得できます
 実在証明には商業登記などを利用することもありますが、帝国データバンクのCOSMOS2のような企業データベースに収録されているかで判断するケースもあります。サーバ証明書の世界的なトップブランドであるシマンテック社は、日本法人の存在確認に帝国データバンクのCOSMOS2を採用しています。

「実在認証」≧「ドメイン認証」

 サーバ証明書の発行にはそれなりの費用がかかります。個人が運営しているホームページでサーバ証明書を利用しているケースはまだまだ少ない状況といえるでしょう。そのため、サーバ証明書を利用しているホームページの運営者は法人が中心となってきます。法人が運営しているホームページであれば、「実在認証」することでその運営者の存在も証明できることになります。

サーバ証明書を確認してみる

アドレスバーの鍵マークをクリック!
 それでは、皆さんがアクセスしているホームページのサーバ証明書を確認してみましょう(今回はInternet Explorerでご説明します)。

 まず、アドレスバーの鍵マークをクリックした後、証明書の表示をクリックします。

 その後、詳細タブを開き、サブジェクトをクリックすると詳細が確認できます。

 CN欄にURLが、O欄に所有者組織が、L・S・C欄に所在地が表示されます。TDBカレッジの場合、日本の東京都港区にあるTeikoku Databank, LTD.のものであることが確認できます。
 このように、サーバ証明書はインターネット通信を”暗号化”するだけでなく、「実在が確認された会社のホームページ」であることを証明する役割も持っているのです

緑のアドレスバー(EV証明書)

緑のアドレスバー=より安全性が高い
 “暗号化”に加えて、”実在性”を確認することが大切である点をご理解いただけたでしょうか。

 ところで、皆さんは金融機関のホームページなどで「緑のアドレスバー」をご覧になったことがありますか?
 これはEV証明書といい、Extended Validation 証明書を略したもので、サーバ証明書の一種です。EV証明書ガイドラインという指標に則り、従来のサーバ証明書に比べてホームページを運営する組織に対する厳格な審査と確認が行われたうえで発行されるものです。
 つまり、EV証明書は「実在認証」以上の審査を経て発行されるもので、信用を重要視する組織のホームページで利用されています
 具体的には、EV証明書の申込担当者について、在籍証明書の提出や、電話による在籍確認、郵便物が到着するのかといった審査を行っており、実在認証以上に組織の存在確認を行っているため、より安全性が高いサーバ証明書ともいえます。
 ブラウザによって表示の仕方は異なりますが、「https/鍵マーク」に加えて、「緑のアドレスバー」や「ホームページ運営者の組織名」を表示して視認性を高めています。

「https/鍵マーク」だけに頼る危険性

 「https/鍵マーク」にだけ注目していると、思わぬ落とし穴があります。有名企業のアドレス(URL)と一文字だけ変えるといった偽装を行っていたとしても、「ドメイン認証」であればサーバ証明書の発行が可能です。このことは、通信を暗号化したうえで情報を詐取することが可能であるということを意味します。実際にそういった偽装サイトも多数確認されていますのでご注意ください
 信頼できるホームページであるかどうか確認するには「アドレス(URL)が正しいか」だけでなく、「その組織が本当に実在しているのか」まで確認する必要があります。その点で「実在認証」や「EV証明書」は組織の確認ができるため、安心できるホームページか、そうではないのかを判断するうえで有効な物差しといえるでしょう。

「TDBサーバ証明書発行サービス」



情報セキュリティ管理者“伊藤”
帝国データバンク顧客サービス統括部ネットワークマーケティング課課長として、実務を通じて情報セキュリティに関する経験を日々重ねている。

<<一覧に戻る

TDBカレッジ知識度チェック

【問250】2021年3月期までに収益認識基準を早期適用した上場企業は何社程度でしょうか?

  • Recommend

    講師一覧

    クリックすると、このホームページ運営企業がTDB企業サーチで表示されます。
    TDB企業コード:986700000
    PAGE TOP