このページの本文へ

全部見せます「RSA Conference 2014」 第2回

米国のシマンテックの認証局を見学してきた

そうだ、認証局行こう!SSLサーバー証明書発行の現場を見た

2014年03月11日 11時00分更新

文● 谷崎朋子

  • この記事をはてなブックマークに追加
  • 本文印刷

WebブラウザのURLバーでよく目にする「https」や「カギマーク」。参照するWebサイトが正規のサイトであり、SSL暗号化通信が確立できていることを示すSSLサーバー証明書は、サイト閲覧者に安心と信頼をもたらす重要な仕組みだ。そんなSSLサーバー証明書を発行するシマンテックの認証局を見学してきた。

ミリタリーグレードのセキュリティに守られた認証局

 サンフランシスコ市街地から黒塗りのリムジンに揺られること約1時間(さすがに目隠しされることはなかったが……)。シリコンバレーの中心にあるマウンテンビューへ到着した私は、シマンテック本社からやや離れた建物へと案内された。標識も案内板も何もなく、他のビルに紛れ込むように佇む住所非公開のその建物が、シマンテックの認証局を擁するデータセンターだ。

どこへ連れていかれるのか不安になるリムジンの長さ

 受付に行くと、24時間365日体制の有人警備や監視カメラが配備されていた。そこから先の中枢部へ進むには、まず権限を付与された人がカード認証と指紋認証を行ない、マントラップへの扉を開ける。中に入り、背後の扉が閉まったことを確認したら、続いて前方の扉横で同様の操作を行なう。「友連れ」の有無は、監視カメラでチェックされる。

データセンターは非公開、かつ撮影禁止のため、緑美しい広大な敷地に構えるシマンテック本社ビルをお楽しみください

 「この建物は、米国国防総省のセキュリティ指針をベースに、複数のセキュリティ基準を組み合わせて策定した厳格なポリシーによって運用されている。入退室管理はもちろんのこと、外壁には鉄板が埋め込まれており、ちょっとやそっとでは壊せないようになっているんだ」。Customer Authentication Services(CAS)部門のシニアマネジャー、ジェフ・カルドーソ氏はそう微笑む。

 CASは、CA/ブラウザフォーラムが策定した非常に厳格な統一ガイドラインに則り、証明書の発行や、顧客のWebサイトなどの信頼性を保証するための各種業務を遂行する。CASのスタッフは、パーテーションで区切られながらも解放感のあるワークスペースで働いている。パーテーションの高さはコラボレーションしやすいよう、やや低めに設定されているそうだ。

ワークスペースの通路を挟んで左側はミーティングルーム

 さらに奥へ進むと、3つの認証装置が取り付けられた扉が現れる。「キーセレモニールーム」と呼ばれるその部屋では、WebサーバーやWebクライアントなどのエンドユーザーに渡される公開鍵証明書の1つの「エンドエンティティ証明書」で利用する鍵を生成している。内部は入室許可がなかったため、図でイメージを膨らませていただきたい。随所に監視カメラが設置され、誰が入退室し、どのような行動をしたかがすべて録画、記録されるそうだ。

ルートキーセレモニーのセーフルーム内部

 入室には、2人分のカード認証、PINコード、虹彩認識が必要だ。失敗を繰り返すなど不審な行為と見なされた場合、すぐに警備員が走ってくる。ちなみに写真の一番左上にあるのが、虹彩認識装置だ。身長156㎝の著者が爪先立ちして両腕を羽ばたかせて、ようやく届く高さになる。スムーズな認証には、弊誌の大谷氏と大塚氏くらいの身長は欲しいところだ。

3つの認証装置が並ぶキーセレモニールーム入口。虹彩認識を試したら装置に「顔が近いから下がれ」と指示された

5年ごとに身元調査も! 審査担当官への険しい道のり

 シマンテックのSSLサーバー証明書には、ドメイン認証、組織認証、EV(Extended Validation)認証の3種類がある。

 ドメイン認証は、ドメイン名データベース「WHOIS」への登録の有無を確認し、証明書を発行。ほぼ即時発行されるのがメリットだ。一方の組織認証は、ドメイン認証に加えてWebサイト運用組織の実在性を登記簿謄本などで確認する。

 そして最後のEV認証は、上記2つに加えてさらに厳格な基準で審査する。たとえば、書類にある住所が実際に存在するか、創業何年目か、設立間もない場合は本当に実態ある企業で休眠状態や無効な組織ではないか、申請者は証明書を購入する権限を持った役職に就いているかなど、「直接電話で確認することもあれば、追加書類の提出をお願いすることもある」という。

 そんな審査を担当するCASのスタッフは、ある意味で「選ばれた」人材だ。採用はリクルート会社や大学での募集を通じて行なわれ、試験はタイピングスキルやWeb検査能力などをチェック。ここまでは一般的な企業と変わらない。

間が持たないので、またもやシマンテック本社社屋でお楽しみください

 すごいのは、書類審査だ。社会保障番号やクレジットカード番号、運転免許証、職歴/学歴など、その人物の身元の確かさを徹底的に調べ上げる。あやふやな記載があれば、面接時に指摘され、回答できなければアウトだ。「信頼できるチームを作ることは、顧客をサポートする上で重要だ」。そう述べるカルドーソ氏も、社会保障番号まで提出させるなんて政府機関の採用試験ですらないことかもしれないと笑う。

 めでたく入社しても、地獄の特訓が待っている。新入社員は3~5週間のトレーニングプログラムで、「昔の電話帳並みの分厚さを誇る資料」でポリシーや審査プロセスに関して学ぶ。その後、(人数やスキルによるが)4~8週間ほどの審査プログラムで成果の程を確認。続けて、監査から証明書発行までのハンズオントレーニングや、より厳しいEV認証のためのトレーニングなどをこなして、ようやく6か月後に現場へ出られる。

 ちなみに、入社後も5年ごとに素行調査が行なわれる。証明書の発行審査も厳しいが、審査する側のチェックも相当に厳しい。

見学中に通りかかった部屋では、ハンズオントレーニングらしきものが行なわれていた

審査基準が厳しくて文句を言われたこともある

 人材育成にこれだけの時間と厳格さを追求するのは、SSLサーバー証明書をフィッシング詐欺などに悪用しようとするケースが後を絶たないからだ。「少し前の事例だが、ある認証局が米国の信用組合のWebサイトに対してSSLサーバー証明書を発行した。しかし、URLをよくよく見るとスペルが違っていた。実態は、フィッシング詐欺業者による偽Webサイトだった」(カルドーソ氏)。

 SSLサーバー証明書を取得して正規サイトに見せかけることは、相手をだます第一歩だ。そのため、業者は登記簿謄本の改ざんや運転免許証の偽造など、あらゆる手を尽くして審査を逃れようとする。これに対して、シマンテックでは、まず政府が公開している業者リストや自社のブラックリストと照合して怪しい申請者を弾き出す。これだけでも月に何千件もある。その後、スペルミスはないか、正しい申請者が署名しているか、日付の記載形式(欧州は日・月・年、米国は月・日・年など)に齟齬はないか、公正証書のインクの色やフォントは正しいかなど、目視で細かくチェックする。

 「製品を買ったにもかかわらず、審査基準が厳しくて、なかなか発行してもらえないと文句を言われることもある。だが、それも誰もが安心してWebサイトを利用できるようにするためだ。もっとも信頼される認証局として、取り組んでいきたい」(カルドーソ氏)

■関連サイト

カテゴリートップへ

この連載の記事
  • 角川アスキー総合研究所
  • アスキーカード