コンピュータセキュリティの分野で働くなら、評判こそが全てです。証明書認証局(CA)のGlobalSignは月曜日、ハッカーによるセキュリティ侵害の申し立てに関する調査結果が出るまで、新規証明書の発行を停止しました。同社の迅速な対応は、業界をリードするCAとしての評判を維持し、ビジネス向けのCAを探している人にとって最適な選択肢となっています。
証明機関は何をするのですか?
認証局は、ウェブサイト、コード、文書、オブジェクト、電子メール、その他あらゆる電子通信やプログラミング環境の安全な環境を証明する様々な証明書を発行します。中小企業にとって最も馴染みのある製品はSSL証明書です。GlobalSignはSSL証明書を「ウェブサイト向けのSSL/TLS暗号化とID保証」と定義しています。
SSLは「Secure Sockets Layer」、TSLは「Transport Layer Security」の略です。どちらもインターネット上で情報を安全に送信するための通信プロトコルであり、注文、支払い、身元情報の送信に最も一般的に使用されています。基盤となる認証局が侵害されると、これらすべての情報も侵害される可能性があります。そのため、GlobalSignはこの状況を非常に深刻に受け止め、徹底的な調査が完了するまで新しい証明書を発行しません。
ウェブサイトがそのような証明書で保護されていることを示すシールやサインは、通常、証明書製品を購入する際に必ず添付されます。GlobalSignの以下のプロモーションビデオでは、同社のウェブサイトパスポートについて、そして企業がウェブサイトにこの種の保護を導入すべき理由について説明しています。
自分の Web サイトに証明書を導入することを検討すべきでしょうか?
ウェブサイト上で何らかの決済手段を導入している場合は、ビジネスにとって決済手段の導入をぜひ検討すべきです。GlobalSignを含む多くの認証局は、ウェブサイトにセキュリティ証明書とそれに対応するトラストシールを設置することで、コンバージョン率が向上すると報告しています。
デグルート経営大学院のミレーナ・ヘッド氏とハレド・ハサネイン氏によるこの独立論文によると、消費者は「従来の市場では豊富な経験を持っているものの、オンライン市場にはそれほど馴染みがなく、快適に感じられない可能性がある。個々の消費者は、『信頼する』という性格特性や、オンラインベンダーとの取引を開始するために必要な信頼を獲得するペースが異なる」とのことです。
GlobalSign が新規証明書の発行を停止することになった経緯は正確には何ですか?
「Comodohacker」というハンドルネームのハッカーが、GlobalSignのシステムに加え、類似企業3社のシステムにもアクセスできると主張しました。彼は月曜日に別の認証局であるDigiNotarに侵入しました。過去にDiginotarへのハッキング事件が発生したため、ほとんどのブラウザはDigiNotarの証明書を受け入れなくなりました。GlobalSignの最高マーケティング責任者であるスティーブ・ウェイト氏から提供された最新情報によると、GlobalSignはDigiNotarへのハッキング事件の捜査に関与した実績を持つFox-ITを今回の捜査に協力させるため起用しました。
GlobalSign が私の CA プロバイダーである場合、心配する必要はありますか?
どちらかといえば、GlobalSignが私の認証局であれば安心できるでしょう。彼らは状況を深刻に受け止めていると公に述べています。実際、認証局はインターネットセキュリティを専門としており、常にハッカーからの防御に努めています。さらに、ComodohackerはGlobalSignのシステムへのアクセスを主張していますが、この主張はGlobalSignによってまだ適切に検証されていません。
CA プロバイダーを選択する際に考慮すべき要素は何ですか?
認証局は数多く存在し、その中から一つを選ぶのは難しい場合があります。選択する際には、考慮すべき要素がいくつかあります。証明書の初回発行時にどの程度の本人確認が行われるかは、非常に重要な要素です。認証局は、企業から提供された情報をそのまま信頼するのではなく、Dun & Bradstreetなどの第三者機関による独立した検証を受けるべきです。
コストも重要な要素です。格安の認証局には、セキュリティ脅威から身を守るために必要なリソースを確保するための資金が不足しています。安価なインターネットセキュリティ証明書の場合、価格に見合った品質が保証されるとは限りません。ほとんどの認証局は、中小企業向けに適切な価格のソリューションを提供しています。同業他社と比較して価格が低すぎる場合は、警戒すべきです。安価なソリューションを購入する前に、より綿密な調査を行うべきです。
誰がインストールを行うのか、そしてインストール費用はいくらかかるのかについても考慮する必要があります。技術的な知識がなくても、CAがインストールサービスを提供してくれる可能性が高いでしょう。見積もりには、これらも考慮に入れるべきです。
購入前にテストする
認証局は、自社のサービスを利用している企業やウェブサイトの例を喜んで提供してくれます。Chrome、Firefox、Internet Explorerでいくつかテストし、各ブラウザで証明書が受け入れられることを確認してください。証明書に関する問題が最も少ない企業を選びましょう。
GlobalSignは、Comodohackerの脅威に基づき、新規証明書の発行を停止するという正しい判断を下しました。これにより、同社は問題に正面から取り組み、セキュリティ脅威を適切に管理できる信頼できる企業としての地位を確立しました。もし認証局が同等の懸念を示さなかったり、全く懸念を示さなかったりしたら、私ははるかに懸念するでしょう。Comodohackerやその他の脅威は、セキュリティ証明書の役割を軽視するものではありません。むしろ、ハッカーが蔓延する今日の状況において、こうしたサービスが切実に必要であることを如実に示しています。
アンジェラ・ウェストは、Pip-Boysを装備したウェイターを揃えたFalloutをテーマにしたパブを開店することを夢見ています。大手保険会社、小規模な野生動物管理会社、グルメフードチェーンなど、様々な企業向けに記事を執筆しています。Twitterで@angelawestをフォローしてください。
