2020 年 08 月 25 日
SSL/TLS サーバー証明書の発行・管理を効率的に - ビジネスのスピードを加速させる SureHandsOn
確認しておきたい電子証明書の 3 つのレベル
今や Google が処理する Web トラフィックの 95% 以上が SSL/TLS による https 通信で占められると言われており ※、SSL/TLS サーバー証明書(以下サーバー証明書)による暗号化通信は必要不可欠な技術となっています。
※ 出典:https://transparencyreport.google.com/https/overview?hl=ja
そしてサーバー証明書が果たす役割は通信の暗号化以外にもう 1 つあります。通信相手(ウェブサイトを運営する企業)が確かに存在することを証明する「実在証明」です。
実在証明のレベルに応じてサーバー証明書は 3 種類に分けられます。
最も簡易的に利用できるのは、「Domain Validation」(DV)証明書と呼ばれるもので、「Let's Encrypt」に代表される無料の証明書発行サービスの多くが該当します。ドメイン名の有無とそのドメイン名を利用する権利を持っているかどうかを確認できればサーバー証明書を発行するもので、企業認証としての有効性は高いわけではありません。
信頼性が高く、広く一般の企業・組織で活用されているのが「Organization Validation」(OV・企業認証)です。ドメイン名の使用権だけでなく、申請してきた組織が本当に存在するかどうか、申請者は本当にその組織に属しているかどうかを、認証局は業界ガイドラインに従って審査した上で発行されます。
そして、最も審査の厳しい「Extended Validation」(EV)になると、より厳密なチェックをクリアした場合にのみ発行されるもので、主に金融機関など、高いセキュリティレベルを自らに課している企業や組織が採用しています。
厳密な審査をすればするほど増加する発行までの時間
OV・EV のサーバー証明書の発行を受けるには、認証局との間で何度かのやりとりが必要なことは、ご存じの方も多いでしょう。
例えばサイバートラストの場合、サーバー証明書の申請を受け付けると、ドメインの使用権を確認するとともに、第三者が提供する企業データベースを参照して登記の有無を確認し、その企業の実在性を確認します。次に、申請者が本当にその企業・組織に属し、組織として申請を行っているかどうかを、代表電話に実際に電話をかけて責任者につないでもらうといった形で確認します。
仮に誰かが自社の社員をかたって、サーバー証明書の発行を依頼してきたとしても、電話確認の結果「そのような申請は行っていません」ということが明らかになれば証明書は発行されません。面倒に見えるプロセスですが、認証局はこうしたアナログな手順を組み合わせて審査を行い、第三者によるなりすまし・悪用を防いでいるのです。
課題は、一連の手続きにかかる時間です。
OV の場合、事前に準備が整っていれば最速で当日、EV でも一両日中に発行も可能ですが、場合よっては一連の手続きに 2〜5 営業日ほど時間がかかります。もし、たまたま担当者が出張続きで電話確認が滞ったり、認証に必要なメールを見落としてしまったりすると、もっと時間がかかってしまう可能性もあります。
企業が 1 つ以上の Web サイトを運用していることは珍しくありません。Web サイトを立てるたびに、サーバー証明書の発行、すなわち企業・申請者の実在確認・審査のプロセスが走ることになります。
しかも、新型コロナウイルスの影響でテレワークや在宅勤務が広がる中では、さらに手続きに時間がかかる恐れがあります。証明書発行に当たっては電話確認が必要なほか、場合によっては申請書を郵送でやりとりする手続きも発生するからです。テレワークや在宅勤務導入でオフィスに行く頻度が低くなっている中、即時の対応が難しくなり、発行までの時間がさらにかかってしまうこともあるでしょう。
近年では、システムをオンデマンドでデプロイできるクラウドサービスの普及にともなって、Web サーバーの構築はますます容易になっており、サーバー証明書の発行にも即時性を求められる方もおられます。
証明書に関わる担当者の負荷を軽減し、サーバー証明書の即時発行を可能にする「SureHandsOn」
こうした課題を解決しスピーディにサーバー証明書の発行を実現する 1 つの方法として、サイバートラストでは「SureHandsOn」というサービスを提供しています。SureHandsOn は、企業が一度サイバートラストによる包括的な審査を受けておけば、後は 24 時間 365 日いつでも証明書が発行できるというものです。
SureHandsOn の仕組みとしては、まず企業に対して、サイバートラストは通常の証明書発行時と同様の審査を実施します。そのうえで、オペレーターと呼ばれる企業側の証明書発行管理者に対して「証明書申請を行えるサーバー管理者(手続き担当者)をマネージすることのできるオペレーターサイト」をお貸出しいたします。
サーバー管理者は、「申請サイト」を通じてサーバー証明書の申請手続きを行うことができ、オペレーターはその申請をリアルタイムで確認、発行の指示を行う事が出来ます。オペレーターの発行指示を受けた申請は即座にサイバートラストのシステムに伝わり、サーバー証明書が発行されます。
以上が 24 時間 365 日いつでも発行できる仕組みです。もちろん、当社が審査した情報以外では証明書は発行されないようになっていますのでオペレーターとしても安心です。
これは実在性確認のプロセスにおいてとても効果的です。従来の方法では証明書発行の度に電話確認などが必要でしたが、SureHandsOn では一度で済ますことができるので、総務・管理部門による対応の手間を減らすことができます。
SureHandsOn のメリットは、審査が一度で済み、手続きを効率的に行えることだけではありません。営業時間などを気にせず、24 時間 365 日いつでもサーバー証明書の発行ができるようになります。Web サーバー管理者が欲しいと思ったときに、サーバー証明書を発行できるようになるのです。
移り変わりの激しい Web サービスの世界はもちろん、デジタル化に取り組むそれ以外の企業でも、他社に先駆けてどれだけスピーディに機能をリリースしていくかがビジネスの成功を左右します。SureHandsOn はそうしたニーズにぴったりなサービスと言えるでしょう。
さらに SureHandsOn は、サーバーを管理するインフラ管理者の負荷も軽減します。自社で扱うサーバー証明書が数件程度ならば、どのドメインにいつサーバー証明書を発行し、その有効期限はいつなのか、といった事柄を、担当者の頑張りに頼って管理するという選択肢もあるでしょう。しかし、大規模な Web サービスを構成する数十台、時には数百台規模の Web サーバーの証明書の管理を手動で行うのは困難を極めます。
先にもご説明したように、SureHandsOn を導入することで、これら一連の証明書の管理を一元的に行えるオペレーター向けのインターフェイスが提供されます。証明書の申請・発行と管理を一元的かつ適切にハンドリングすることができます。
もちろん、サーバー証明書にかかわる処理を社内の誰もが行えてしまってはコンプライアンス的な問題が発生します。そこで SureHandsOn では、会社として一度審査をクリアしたとしても、専用のクライアント証明書をインストールした端末以外からの証明書の発行・失効・管理は行えないようになっています。
このように SureHandsOn は、総務・管理部門と Web サーバーの管理部門、どちらの省力化も実現し、ビジネスのスピードを加速させます。サイバートラストでは、発行する証明書の枚数に応じたボリュームディスカウントも用意しているため、コストパフォーマンスはさらに高くなるでしょう。
今 Web ブラウザ業界では、セキュリティを強化するため、電子証明書の有効期限を従来の 2 年から 13 ヶ月に短縮しようとする動きも出てきます。そうなるとますます、証明書申請、発行管理の手間をいかに省くかがポイントになってきます。SureHandsOn にご興味を持った方はぜひ、SSL/TLS サーバー証明書専用お問い合わせフォームからお問い合わせください。