新しいSSL証明書発行サービス「Encryption Everywhere」、ファーストサーバと国内初提携
「SSL化100%」目指すシマンテック、ホスティング事業者と提携
2016年08月31日 12時15分更新
シマンテックは8月30日、Webホスティング事業者との提携を通じて提供する新しいSSLサーバー証明書発行サービス「Encryption Everywhere」を発表した。ホスティングの販売メニューに「SSL証明書発行」をパッケージ化し、煩雑な発行手続きやサーバーへの設置作業を自動化することで、現在まだ「3%」と言われるWebサーバーへのSSL証明書普及率を高めていく狙い。
シマンテック「Encryption Everywhere」の提供イメージ(シマンテック資料より)
発表会に出席したシマンテック Website Serucity 営業本部 本部長の平岩義正氏
シマンテック Website Serucity プロダクトマーケティング部 プロダクトマーケティングマネージャーの林正人氏
ホスティングメニューに「SSL証明書」を組み込み、発行と利用を促進
Encryption Everywhereは、シマンテックが展開するWebサイトセキュリティソリューションの1つとして、今年3月からグローバルで提供を開始しているSSLサーバー証明書発行サービス。海外ではすでに提携ホスティング事業者があるが、今回、ファーストサーバが国内第一号の提携事業者となった。
ファーストサーバでは同日より、ホスティングサービス「Zenlogic」の全プランで、Encryption Everywhereを通じた無料または特別価格でのSSL証明書提供をスタートしている。
ファーストサーバの「Zenlogic」ホスティングでは、同サービスを通じて発行されるドメイン認証(DV)証明書の全プラン無料提供を開始した(画像はZenlogicサイトより)
Encryption Everywhereでは、提携事業者が自社のホスティングメニューにおいて、あらかじめシマンテックグループのSSL証明書をパッケージ化したプランを用意する。提携事業者のシステム、API経由でシマンテックの証明書発行システムと連携しており、エンドユーザーが当該プランを契約(登録や更新)すると、自動的に証明書の発行手続きやサーバーへの設置作業が実行される。これにより、ユーザーは手をわずらわせることなく、Webサイトを最初からSSL化された状態で(HTTPSアクセス可能な状態で)利用できる仕組み。
さらに同サービスでは、ドメイン認証(DV)証明書、企業認証(OV)証明書、EV SSL証明書と、あらゆる認証レベルのSSL証明書が発行可能で、事業者がWebサイトの利用シーンに応じたプランを提供できる点も特徴。上位証明書へのアップグレードも容易に行えるという。
ドメイン認証(DV)証明書、企業認証(OV)証明書、EV SSL証明書の違いと主な利用シーン
なお、シマンテックではSSL証明書の登録や発行、無効化(revoke)など幅広いAPIをホスティング事業者向けに提供する。これにより、たとえば証明書の有効期限切れ前にホスティング契約を解約した場合に、自動的に証明書も無効化するようなシステムも構築が可能だ。
SSL証明書の最終的な(エンドユーザーへの)販売価格は、ホスティング事業者側で決定することになるが、前述したファーストサーバのように、発行元ブランド名が付かない“ホワイトレーベル”のDV SSL証明書はおおむね無料で提供される見込み。また、シマンテックやジオトラストブランドの有料証明書についても、ユーザーが個別に発行申請するよりは安価に購入できるようになる可能性が高いという。
現在の普及率3%を100%へ、無料SSL証明書の「悪用」問題にも取り組む
同日の発表会では、シマンテックがEncryption Everywhereを提供する背景や、現状のSSLサーバー証明書をめぐる課題などが語られた。
シマンテック Website Serucity 営業本部 本部長の平岩義正氏は、「日本のインターネットセキュリティを底上げするために、Encryption Everywhereの提供を開始した」と述べた。シマンテックが考える「底上げ」とは、SSL証明書を備えていないWebサイトをなくし、最低でもすべてのWebトラフィックが暗号化(HTTPS化)により保護される状況を指す。
シマンテックの狙い。ホスティング事業者を利用するすべてのWebサイトにSSL証明書の搭載を図っていく
最近では、あらゆる場面でセキュリティ強化ニーズが高まっており、Webサイトの「常時SSL化」がトレンドとなっている。ほかにも、SSL対応サイトが検索エンジンでSEO的に優遇されること、SSL暗号化通信が必須となるHTTP/2が次世代仕様として標準化されたこと、ブラウザによっては非SSL通信への警告表示が検討されていることなどが背景となって、SSLサーバー証明書の発行枚数は「年率10%以上の勢いで増えている」(平岩氏)。
しかし、それでもまだ「SSLサーバー証明書が入っているWebサイトは、全体のわずか3%にすぎない」(平岩氏)のが実情だ。
97%のWebサイトがSSL証明書非搭載である現状に対し、シマンテックでは「4フェーズの取り組み」で底上げを図っていくと、シマンテック Website Serucity プロダクトマーケティングマネージャーの林正人氏は説明した。Encryption Everywhereの提供を通じて、SSL証明書が非搭載である「レベル0」のサイトを、無料のDV SSL証明書を導入した「レベル1」へと引き上げ、まずは普及率を高めていく。そのうえで、Webサイトの利用目的によっては、より高度なセキュリティが享受できるOV SSL証明書(レベル2)やEV SSL証明書(レベル3)へのアップグレードの提案にもつなげていく戦略だ。
まずは実質無料のDV SSL証明書を普及させ(レベル1)、そのうえでさらに強固なセキュリティを実現するOV SSL/EV SSL証明書(レベル2/3)も提案していく
また今回、シマンテックが実質無料のSSL証明書を発行する背景には、近年登場した「Let's Encrypt」などの無料SSL証明書発行サービスが抱える問題もあるという。こうしたサービスでは簡易な認証だけでDV SSL証明書が発行されるため、サイバー攻撃(マルウェア)のトラフィックを暗号化し、検知されにくくするために悪用されるケースが急増しているという。「ブルーコートの発表によると、過去4カ月でHTTPSを利用するマルウェアが300%増加している」(林氏)。
Encryption Everywhereの場合、まずホスティング事業者との契約時点で一定の認証がかかる(不審なクレジットカードの排除など)うえ、シマンテック側でも通常の認証プロセス(WHOIS、Eメール認証など)のほか、ブラックリストをチェックするなどの措置を行い、サイバー攻撃におけるSSL証明書の悪用を排除していく。
シマンテックでは今後、Encryption Everywhereを通じてさらに多くのホスティング事業者と提携し、SSL証明書の利用普及を拡大していく方針。林氏は「すでに多くのホスティング事業者と話し合いをしており、同じ目標に向かって協調していく」と述べた。
Encryption Everywhereの導入によるホスティング事業者側のメリット
