証明書とは

先日の投稿のあと、SSL証明書についてご質問頂く事があり、証明書の種類や違いについて知らない人も多いようだったので改めて情報をまとめてみました。

あとSSL証明書に関連する弊社のサービスについてもご紹介させて頂きます。

証明書とは

電子証明書には色々な種類があります。各証明書についてはサイバートラスト社様で詳しく説明されているのですが、今回はサーバー証明書について調べてみました。インターネットを使った通信は常に盗聴や改ざんといったセキュリティ上のリスクが付きまとうのですが、サーバー証明書を使用することにより、盗聴や改ざんといった不正を防止することが出来ます。

出典　IT初心者用入門 「証明書とは？」(https://www.cybertrust.ne.jp/journal/certification.html)
「あなたのまわりの電子証明書」最終閲覧日2018/10/26

ウェブサーバーの通信を暗号化する「サーバー証明書」ですが、サーバー証明書には更に大きく分けて三種類が存在しています。

どの種類でもHTTPS化(SSL化)することは出来るのですがそれぞれどんな違いがあるかご存知でしょうか。

下記に各証明書の特長をまとめてみました。

証明書の種類に応じて取得する際の審査基準が違うことが分かると思います。

EV証明書>OV証明書>DV証明書の順番で審査基準が厳しくなります。また、DV証明書と異なりOV証明書、EV証明書に関しては企業や団体としての登録が必要な為、個人が運営するサイトでは使用することが出来ないようです。

その為、個人が運営するサイトではDV証明書を使用するか、そもそもSSL証明書を使用していないケースがほとんどの様ですがHTTPS化は情報の暗号化以外にもSEOにも影響したり、HTTP/2の通信プロトコルを使用するため通信速度も速いというメリットがあるため今後は多くのウェブサイトで使われていくことになるかと思われます。

結局はどの証明書を使うのが良いか

それでは、企業が運営するウェブサイトの場合、どの証明書を使用するのがいいのでしょうか？

HTTPS化するだけならばどの証明書でも可能ですが、OV証明書やEV証明書を使う事によるメリットがでるケースもあると思います。

OV証明書やEV証明書を使用しているウェブサイトはその運営企業の実在証明がされているため、それだけサイトの信頼性が高いといえます。

例えばクレジットカードや個人情報を入力するようなウェブサイトでこの証明書が使われていれば安心できる一つの指標になるかと思います。

また、OV証明書ではわかりませんが企業名が表示されるEV証明書を使用している場合、ブラウザ越しに運営している企業名がアドレスバーに表示されるので訪問者は一目でこのサイトを運営している企業の確認が出来るので信用する指標になると思います。

それでは、各証明書はいったいどれだけの企業で使われているのでしょうか？

上場企業のSSL証明書の利用状況を調べている株式会社フィードテイラー様のレポートによれば国内上場企業の証明書対応状況は以下の通りです。

出典　国内上場企業サイトの常時SSL化対応状況レポート(2018年10月版)(https://www.feedtailor.jp/report_aossl/)
「全上場企業における証明書種類分布」最終閲覧日2018/10/26

この図は2018年10月年度の、日本の上場企業における証明書の利用状況です。

3割以上の企業が証明書を利用していない(HTTPS化していない)様です。

前回の記事で書いたのですが、chrome 70ではHTTPS化していないウェブサイトで情報入力をしようとした場合、アドレスバーに赤い警告表示がされますのでお問い合わせや資料請求を目的としたサイトでは機会損失にもなりかねませんし、同種のビジネスを展開している企業が証明書を使っていた場合、ウェブサイト訪問者から見た場合、企業のITリテラシー面で差を感じてしまうので避けたい所かと思います。

出典　国内上場企業サイトの常時SSL化対応状況レポート(2018年10月版)(https://www.feedtailor.jp/report_aossl/)
業種コード別の常時SSL化対応状況 (17業種コード) 最終閲覧日2018/10/26

上場企業全体で証明書の利用状況を見た場合、アドレスバーに名前が表示される最上位のEV証明書を多く使っている業種は、やはり銀行や金融業などお金に関する業態の会社が多いようです。

証明書の利用が最も多いのは情報通信・サービス業で、全体の7割超の企業が何らかの証明書を使っている様です。

意外にも、不動産業は7割もの企業が証明書を使っています。不動産業はコンシューマー向けに展開していることが多く、ウェブサイト訪問者が希望の間取り等の条件を入力したり、物件を掲載している会社へお問合せ頂く事を想定していると思いますので、いち早く証明書を導入してHTTPSに対応している企業が多いのかと思います。

逆に証明書があまり使われていない業種は鉄鋼・非鉄業や自動車・輸送機業界が多いようです。この二つの業種は半分以上の企業が証明書を利用していませんでした。

SSL証明書管理サービスについて

ブラウザ側のこうした取り組みは、サイト訪問者へのセキュリティリスクを軽減する目的で行われていますが、企業担当者が運営するサイト1つ1つに証明書を設置、管理するのは骨が折れるかと思います。

特に少人数で複数サイトを運営している場合は、購入する証明書の有効期限がいつまでなのか。サイト毎にいつが期限なのかを把握する必要があり、Excelなどを使った管理では漏れが出たり埋もれたりしてしまいがちです。

弊社では「マネージドSSL証明書」というサービスを出しており、SSL証明書の取得や運用・管理を一手に行うマネージドサービスを展開しています。

一般的に年間や複数年で購入する証明書を、月額課金で提供するサービスとなっており、途中で使わなくなったら解約もできます。

例えば、証明書を導入しているウェブサイトが複数あったり、社内で証明書の管理方法が決まっておらず、日々の業務に埋もれて証明書の有効期限が過ぎてしまう、そんな事態が解決できるサービスとなっています。

これから証明書を利用する機会が増えてくると思いますので、興味を持って頂けましたら是非お問合せ下さい。

【関連リンク】

• WebサイトやCMSの静的化を御支援するfeedtailor社長ブログ
• cybertrust社　入門コンテンツ 証明書とは？