通信の安全性を確保するには?技術・運用の両面から探る最適解
情報学部情報学科教授
田中 健吾 TANAKA Kengo
●略歴
1997年 愛媛大学理学部卒業
2002年 九州大学大学院工学研究科 博士課程修了 博士(工学)
2002年 九州大学大学院工学研究院付属環境システム科学研究センター講師
2004年 香蘭女子短期大学講師
2008年 香蘭女子短期大学准教授、情報センター次長
2016年 香蘭女子短期大学情報センター長
2020年 香蘭女子短期大学教授
2022年 松山大学経営学部教授
2025年 松山大学情報学部教授(現在に至る)
組織の実在証明と通信の暗号化が重要
現在、私が取り組んでいるのは、組織におけるネットワーク技術の運用や情報セキュリティ対策についての研究です。前職の大学で情報センターに所属していたとき、Webサーバやファイヤーウォールへ取得したSSL/TLSサーバ証明書(以下、サーバ証明書)をインストールする機会があって興味を持ったことがきっかけでした。
Webサイト(以下、サイト)の運営組織が実在することと、サイトにアクセスする際の通信が暗号化されていることは、ユーザーが安心してインターネットを利用するために欠かせない要件です。例えば“インターネット上にあるショップが実在していて、真っ当に運営されているという実態があって、ショップへ個人情報やクレジットカード情報を送っても外部に漏れず、改ざんされない”ということが確実に保証されていて、初めて私たちは安心してインターネットショップを利用できます。
一方でサイトとそれを所有する組織の対応関係をユーザーに誤認識させ、偽サイトに誘導するフィッシング詐欺が近年横行しています。少し前までのフィッシングサイトは、なんとなく「怪しいのでは?」と感じるところもありましたが、今では真偽の判断が困難なほど偽サイトの精度が上がっています。そのようなことも受け、最近は特にサイトを所有する組織の実在証明の方法に関心を持って研究を進めています。
信頼性を保証するSSL/TLSサーバ証明書
サイトの安全性をアピールする際に使われる標準的な手法にサーバ証明書というものがあり、DV、OV、EVという3段階で安全性を証明しています。DV証明書はドメインの使用権を認証して発行される簡易的なもので、OV証明書はドメインの認証に加えてサーバを運営する組織の存在を認証したものです。EV証明書はサイトの運営組織が法的・物理的に実在しているか、組織が形だけでなく実際に運営されているかまで確認してから発行される証明書です。EV証明書の認証を得るためには、認証局と呼ばれる発行機関と複数の証明書類を交わす必要があり、認証局による組織への電話確認や第三者機関データベースへの組織情報の照会による実在確認があるだけでなく、取得に高額なコストも必要になるなど、認証局間の統一基準に基づいた複数の手続きや負担を求められるため、EV証明書に認証されたフィッシングサイトを立ち上げることを困難にしています。
厳格な審査をクリアして発行されたEV証明書を得たサイトは、運営する組織名がブラウザに表示され、ユーザーに安全性を強調してきました。しかしブラウザから組織名の表示を廃止するという大きな転換が2019年に訪れます。一見するとユーザーの安全性確保に反するような動きにも思えますが、スマートフォン利用者が増えたことがその理由の一つでした。スマートフォンはパソコンと比べて画面が小さく表示スペースがないこと、スマートフォン利用者はアプリ経由でサイトに移動するためブラウザを使うことがなくなってきたこと、ブラウザに組織名の表示がなくなってもユーザーの行動は変化しなかった(変わらずサイトを利用し続けた)と調査で確認されたことなどから、EV証明書の組織名表示は本来意図したようにユーザーを保護していないと判断されたことが、表示廃止に至る背景になっていると考えられます。ブラウザは世界中で利用されているものであり、世界標準で仕様変更されるため、必然的に日本を含めた世界中のブラウザから組織名表示が消える結果となりました。
安全性を確保する最良の方法を模索
サイトとそれを所有する組織の対応関係をユーザーが正しく認知する技術的方法は、今のところ最良の方法が確立しているとは言えません。そのため、ユーザーが目的のサイトに常に正しくアクセスできる方法を模索することは、非常に重要な課題であり、フィッシング詐欺の被害を減らすことにもつながります。
この問題が技術的に完全解決できればベストですが、現状ではその見通しは立っておらず、ユーザー側のリテラシーを向上させることも重要な課題だと感じています。私はセキュリティ対策の専門家ではありませんが、組織のなかで端末レベルからネットワークインフラの先まで一貫したネットワーク技術の運用とセキュリティ対策、セキュリティリテラシーの向上について包括的に研究してきました。前職で学内の情報サービスや情報環境を充実・改善すると、学生・職員の皆さんの利便性向上につながり、役立つというやりがいを実感できたことが研究のモチベーションにつながっています。
引き続き技術面の改善と、ユーザーのリテラシー向上の両面について、広く世の中に役立つ研究をしていきたい、そしてそれらを学生にも伝えていきたいと考えています。
松山大学公式HPのサーバ証明書とその要約情報
この記事は松山大学学園報「CREATION」NO.219でご覧いただけます。