• 認証
  • 認証局を選ぶポイント

電子証明書を値段で選んで大丈夫!?
認証局を選ぶポイント

ユーザーが安心して利用できるWebサービスの環境を構築するためには、SSLサーバ証明書などの電子証明書が欠かせません。しかし昨今ではこの電子証明書を提供する認証局も様々あり、どの認証局を選んだらよいのか、悩むこともあるのではないでしょうか。そこで今回は、認証局を選ぶ際のポイントをお伝えします。

そもそも認証局とは?

まずは、認証局の果たす役割を確認しておきましょう。認証局とは、インターネットによる電子商取引において、サイトやサイトを運営する法人/個人の実在性、正当性などを保証する機関です。

その大きな役割の1つは、電子証明書を発行することです。例えばメールの暗号化に使われるクライアント証明書を発行する場合、登記事項証明書や印鑑登録証明書を用いて、申請元の企業が実在しているかを確認します。それらの確認が取れれば、ユーザーに安全性を示すための証明書を発行することになるのです。また、失効の依頼を受けた電子証明書や秘密鍵が漏えいした可能性のある証明書を失効させることなども、認証局の役割となります。

認証局には、依頼を受けてSSLサーバ証明書などの電子証明書を発行、提供する「パブリック認証局」と、自社内で独自に認証局を構築するオンプレミス型の「プライベート認証局」があります。またプライベート認証局は、その運営も自社で行う場合と、運営はベンダーに任せるという場合があります。

なぜ証明書の値段はピンからキリまであるのか

では認証局をどのように選べばいいのか、という点ですが、電子証明書の導入を検討する際に「どの認証局が発行している証明書なのか」を気にして選んでいるでしょうか。実際の所は、料金の方が気になる、という場合が多いかもしれません。

電子証明書は、発行する認証局によってその価格が異なります。最近ではオープンソースとして誰でも自由に入手できるオープンSSLや、2,000〜3,000円程度という低価格で証明書を発行している認証局もある一方で、数万円~10万円以上の料金で証明書を提供している認証局もあります。費用の面だけを見れば、安いことに越したことはありませんので、オープンソースや安いものを選ぶ、という結論になるかもしれません。

しかし、ここで一度考えておきたいのが「なぜこんなに価格差が生じているのか」という点です。この価格差は、認証局の信頼性や安全性、そして世間での知名度など、証明書の「質」によるものが大きいと言われています。一概に料金の安い/高いが認証局の信頼性が低い/高いに直結するとは言えませんが、細かい認証作業を実現するにはそれなりのコストを要するため、品質がよく信頼性の高い証明書はその分料金が高くなるということは言えるでしょう。

信頼性の高い認証局を選ぶことがポイント

電子商取引における信頼性を示すためには、証明書自体が信頼できるものでなければなりません。例えば一口にSSLサーバ証明書と言っても、サイトの実在性だけを証明しているものもあれば、サイトを運営する企業の実在性まで証明しているものがあります。これらを比較した場合、後者の方がより信頼性が増すことは明白でしょう。安値だけが追求された証明書では、証明のプロセスが簡略化されている可能性があるので注意が必要です。

また悪意を持った認証局や、認証局自体のセキュリティが甘いというような場合は、企業名を勝手に使用した「なりすまし」の証明書が発行されてしまうなどの恐れもありますので、その認証局自体が信頼できるのかどうかという確認も必要です。本来認証局は業務全般に関するCPS(Certification Practice Statement)(※1)やセキュリティポリシーをユーザーに掲出しつつ、物理的、人的なセキュリティ対策に関して十分配慮されていなければなりません。

2011年には、英国のA社とオランダのB社で偽造証明書が発行され、認証局に対する信頼が大きく揺いだ事件が発覚しました。A社の場合、IA(発行局)としての同社が委託する、イタリアのRA(登録局)がハッキングされてしまったことが原因とされています。この結果さまざまなアプリケーションに偽造証明書が発行されてしまいました。

B社の場合は、あるハッカーがシステムへのパスを不正に入手し、証明書発行のための情報を盗み出しました。こちらはIA自体がハッキングされて偽造証明書が発行されてしまったのです。

これらの事件は、認証局の監査体制やインフラ投資の不備によって、証明書の認証が簡易化されているのが原因ともされています。

せっかく電子商取引の安全性を保つために証明書を導入しても、選んだ証明書やそれを発行する認証局に不備があれば元も子もありません。安全性や信頼性の高さを示すという本来の役割をきちんと果たしている証明書を導入するためには、CPSの規約に厳密に従っていて、加え第三者による客観評価が適切に行なわれ、PDCAのサイクルをきちんと回していけるような、信頼できる認証局を選ぶことが大切なのです。

エントラストは1994年の設立以来、暗号化や認証、ディジタル署名を実現するPKI(Public Key Infrastructure: 公開鍵インフラストラクチャ)をベースとしたセキュリティ・プロバイダーのトップ・ベンダーとして電子認証業界をリードし、全世界85ヶ国で5,000以上の導入実績があります。インターネットの安全性向上に向けてさまざまな取り組みを行っているCAブラウザフォーラム(※2)のメンバーでもあるため、Webを取り巻く環境の変化や新たな脆弱性などにも迅速に対応できます。また、証明書管理サービスの1つであるEntrust Discoveryを導入すれば、組織や企業内に散在する証明書を自動検出し在庫管理が可能となり、セキュリティ、コンプライアンスリスクへの対応を強化することが可能です。

安全で信頼性の高いWeb環境の実現や、電子証明書に関する質問・相談はお気軽にお問い合わせください。

※1 CPS
信頼される第三者機関が認証を利用する者に対して、信頼性、安全性および経済性などを評価できるように認証機関のセキュリティポリシー、責任や義務、約款および外部との信頼関係などに関する詳細を規定した文書。

※2 CAブラウザフォーラム
電子証明書を使った通信の安全性やその利便性を向上させるためのガイドラインを策定している団体。

エントラストの提供する証明書および証明書関連製品の一覧はこちら⇒

認証局を構築するPKI製品の詳細はこちら⇒

無料相談・お問い合わせ