通信の安全性を確保するには？技術・運用の両面から探る最適解

信頼性を保証するSSL／TLSサーバ証明書

サイトの安全性をアピールする際に使われる標準的な手法にサーバ証明書というものがあり、DV、OV、EVという3段階で安全性を証明しています。DV証明書はドメインの使用権を認証して発行される簡易的なもので、OV証明書はドメインの認証に加えてサーバを運営する組織の存在を認証したものです。EV証明書はサイトの運営組織が法的・物理的に実在しているか、組織が形だけでなく実際に運営されているかまで確認してから発行される証明書です。EV証明書の認証を得るためには、認証局と呼ばれる発行機関と複数の証明書類を交わす必要があり、認証局による組織への電話確認や第三者機関データベースへの組織情報の照会による実在確認があるだけでなく、取得に高額なコストも必要になるなど、認証局間の統一基準に基づいた複数の手続きや負担を求められるため、EV証明書に認証されたフィッシングサイトを立ち上げることを困難にしています。
　厳格な審査をクリアして発行されたEV証明書を得たサイトは、運営する組織名がブラウザに表示され、ユーザーに安全性を強調してきました。しかしブラウザから組織名の表示を廃止するという大きな転換が2019年に訪れます。一見するとユーザーの安全性確保に反するような動きにも思えますが、スマートフォン利用者が増えたことがその理由の一つでした。スマートフォンはパソコンと比べて画面が小さく表示スペースがないこと、スマートフォン利用者はアプリ経由でサイトに移動するためブラウザを使うことがなくなってきたこと、ブラウザに組織名の表示がなくなってもユーザーの行動は変化しなかった(変わらずサイトを利用し続けた)と調査で確認されたことなどから、EV証明書の組織名表示は本来意図したようにユーザーを保護していないと判断されたことが、表示廃止に至る背景になっていると考えられます。ブラウザは世界中で利用されているものであり、世界標準で仕様変更されるため、必然的に日本を含めた世界中のブラウザから組織名表示が消える結果となりました。