ベリサイン、「企業認証」に特化した証明書サービス「VeriSign Trust Seal」


VeriSign Trust Sealの新マーク

 日本ベリサイン株式会社(以下、ベリサイン)は27日、新サービス「VeriSign Trust Seal」を発表した。すでに米国では提供済み。国内でも、販売パートナーを通じて同日より提供する。価格はドメインあたり4万1580円/年。

 VeriSign Trust Sealは、通信の暗号化は行わず、企業認証とマルウェアスキャンなどの保護機能を提供する新しい証明書サービス。個人情報などのやり取りは発生せず、通信の暗号化は不要だが、Webユーザーに自社サイトへの安心感を与えたいというニーズに応える。

 同サービスを導入すると、おなじみの赤丸チェックに「VeriSign Trusted」と表記されたシールがWebページに表示される。これにより、自社サイトの安全性・信頼性がベリサイン(第三者)に証明されていると一般のWebユーザーに視覚的にアピールできる。

 具体的には、(1)組織の実在性を認証し合格したWebサイトにのみ付与、(2)マルウェアを検出する機能、(3)ネット検索結果にVeriSign Trust Sealを表示する、といった3点が特徴。

VeriSign Trust Sealが提供する「信頼」新マークのデザイン
SSL製品本部上席部長の平岩義正氏
アドレスバーのURLに表示されるドメインと、スプラッシュページ表示内容との完全一致によって、Webサイト運営者の実在性を確認できる

 (1)については、ベリサインがWebサイト運営者の実在性を確認する企業認証と、そのドメインが間違いなくその企業のものかを認証。それに合格したWebサイトだけに配布される。これにより、「このWebサイトはきちんとした企業に運営されている」という証明になるわけだ。画面上の同シールをクリックすると、実際のWebサイト所有者の組織名が確認できるため、フィッシング詐欺の防止効果も期待できる。

 さらに(2)によって、Webページが改ざんされ、マルウェアが埋め込まれていないか、ベリサインによって1日1回マルウェアチェックが行われる。登録したドメインのトップページから巡回し、スキャンページ数は「ここまで調べれば95%のマルウェアが検出できるという調査結果のある200ページまで」(SSL製品本部上席部長の平岩義正氏)。

 スキャンが無事に終わると、同シールをクリックした際のスプラッシュページ内でスキャン結果が確認可能。逆にマルウェアが検出された際は、管理者に警告メールを通知するとともに、スキャンページの範囲を広げ、800ページまで緊急巡回。併せて、Webサイト上から同シールの表示が消えるという。

 (3)では、IE/Firefox上でGoogle/Bingで検索した際に、結果画面中の、同シールを導入しているWebサイトのリンク横に、Verisign Trust Sealが表示される。「検索結果がより信頼され、より多くのクリックを生む。より多くのクリックがより多くのビジネスを生むのが、ユーザーのメリットだ」(同氏)。ただし、AVG Link Scanner(AVG Anti-Virus無償・有償版にバンドル)がインストールされたPCでないと同機能は働かず、現状はまだ、米国仕様の機能にとどまっている。

従来のSSLサーバー証明書との比較シールをクリックして表示されるスプラッシュページも若干異なる
SSLを必要としないWebサイトに最適。例えば、ショッピングカートや支払い処理をアウトソースしているECサイトなどを想定する

 対象は、SSLを必要としない、あるいは利用できない小規模サイト。例えば「ショッピングカートや支払い処理をアウトソースしているECサイトなどを想定する」(同氏)。自社サイト内で個人情報を要求しない、これら小規模なECサイトに高価なSSLサーバー証明書を導入するのは現実的ではない。そこで、アウトソース先の決済サイトにSSLサーバー証明書を導入し、ECサイトにVeriSign Trust Sealを導入することで、最適な連携が実現するという考え方だ。

 価格は、ドメインあたり4万1580円/年。10月下旬からは、従来のSSLサーバー証明書へのバンドル提供も開始する予定。


SSL通信対応・非対応のシールが“ごちゃ混ぜ”にならないかが懸念

 しかし、1つ懸念がある。SSL通信を行わないVeriSign Trust Sealが、個人情報を扱うWebサイトに導入されると、Webの安全という観点では逆効果になり得るということだ。

 VeriSign Trust Sealのデザインは、従来のベリサインセキュアドシール(同じく赤丸チェックにVeriSign Securedの表記)とデザインが酷似している。一般のWebユーザーに、これらを見分けるのはおそらく不可能だろう。

 そこでもしも、個人情報を扱うWebサイトに新サービスが提供されてしまうと、SSL通信が必要なのに実際には暗号化されず、なのに「VeriSign」という信頼の名がついた「Trust Seal」が表示されることになる。一般ユーザーは、このマークがあれば安心と考えて、不用意に個人情報を送信してしまいかねない。

 例えば、個人情報を入力するWebサイトには導入できない仕組みが必要ではなかろうか。しかし機能的にも、また人為的にも「現状、確かな仕組みはない」(平岩氏)という。実際、ユーザー企業がWebサイトを刷新して、VeriSign Trust Seal導入後に個人情報を入力する画面を用意することもあり得る中で、それらすべてにベリサインが人為的な対応を行うのは不可能だろう。

 もちろんベリサインもこの点を考えないわけではなく、「そうならないように十分な啓発が必要。販売する際も販売パートナーからお客さまへ、このWebサイトではSSLが必要、このWebサイトではVeriSign Trust Sealで十分といった説明・周知を行う」(同氏)としている。また、「現状でも、SSLが必要なところにSSLが適用されていないケースが多く、そうしたWebサイトがなくなるようSSLサーバー証明書の必要性を啓発している」(同氏)。その活動と並行して、新サービスでの啓発も強化する考え。

 サービスの想定通り、個人情報を扱わないWebサイトには新サービスのVeriSign Trust Seal、SSL通信が必要なWebサイトには従来のSSLサーバー証明書といったすみ分けがきちんとされれば、新サービスの価値は高いといえる。

 逆に両方のシールがごちゃ混ぜになってしまったが故に、逆にリスクが増えてしまったということのないように、できれば機能的に、少なくとも契約書で制限するなどの対応を慎重に進めてほしい。

関連情報