~ フィッシングとは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する行為です ~

HOME > 報告書類 > 協議会WG報告書 > SSL / TLS サーバー証明書のユースケースついて (2018/03/29)

協議会WG報告書

SSL / TLS サーバー証明書のユースケースついて (2018/03/29)

2018年03月29日

【はじめに】

Google や Yahoo! といったメジャーな検索サイトの検索ロジックおよび Chrome や Firefox など主要ブラウザの表示において、セキュリティ対策として Web サイトへの SSL / TLS サーバー証明書 (以下、サーバー証明書) の活用を推進する流れが進んでいます。
具体的には、検索エンジンでの HTTPS サイトの検索順位優遇や、ブラウザでの非 HTTPS サイトへアクセスした際に警告表示などが行われます。

サーバー証明書の認知・普及が進むことは好ましいのですが、「HTTPS サイト = 100% 安全」 ではないという状況が出てきているのも事実です。サーバー証明書には、証明書を発行する際に確認する情報の多さ・深さに応じて、DV (ドメイン認証型:Domain Validation)、OV (組織認証型:Organization Validation)、EV (EV 認証型:Extended Validation) の 3 つのタイプがあります。
なりすましサイトやフィッシングサイトの目的で、確認する情報の少ないタイプの 「DV サーバー証明書」 を巧妙に取得し、悪用する事例があります。Web サイトの真偽を見極めるための利用者への啓発も求められていますが、Web サイトを運営する側 (事業者) も、ユーザーの大事な情報 (個人情報や金融取引に関する情報など) が悪意のある第三者の手に渡ってしまったり、善意のユーザーが被害に遭うことが極力起きないように、適切なタイプのサーバー証明書を選択し真正性のある Web サイトであることを訴求していくことが重要です。

本コンテンツでは、Web サイトの運営者や代理事業者の方々が Web サイトの SSL / TLS 化を行う場合に、DV、OV、EV のどのサーバー証明書を選べばよいのかの指針となる事例を示します。

 

【1) DV (ドメイン認証型) 証明書のユースケース】

<DV 証明書とは>

  • ドメイン名の登録権のみを確認して発行する証明書です。
  • 組織の実在性は確認されませんが、通信内容の暗号化は OV・EV 同様に行われます。
    ※Windows 版 Chrome の表示例

<利用の指針>

  • 個人情報やクレジットカード番号などの重要情報を入力しない Web サイト
  • 誰が運営しているかを確認する必要のない、重要ではない Web サイト
  • インターネットに公開せず特定の人しか閲覧しない内部ネットワークにある Web サイト

<利用例>

  • 個人ブログ、掲示板
  • イントラネット内の Web サイト、メールサーバ、FTP サーバ

 

【2) OV (組織組織認証型) 証明書のユースケース】

<OV 証明書とは>

  • ドメイン名の登録権の他に、Web サイトの運営組織が実際に存在するかどうか、証明書の申請者がその組織に所属するかを審査した上で発行する証明書です。
  • Web サイトの運営者が誰なのかがわかるので、Web サイトの信頼性が向上します。
    ※Windows 版 Chrome の表示例

<利用の指針>

  • クレジットカード番号や口座番号など金銭のやり取りに必要な情報を入力しない Web サイト
  • 公開する情報に信頼性を持たせる必要のある Web サイト
  • 個人情報など一般公開したくない情報の入力が必要な Web サイト

<利用例>

  • コーポレートサイト、ニュース・情報検索・ナビゲーションサイト、動画・音楽視聴サイト
  • ソーシャルメディアサイト、金銭のやり取りがない Web サービスサイト

 

【3) EV (Extended Validation) 証明書のユースケース】

<EV 証明書とは>

  • OV 証明書よりも厳格な審査 (組織の法的な登録の確認など) の基に発行する証明書です。
  • EV 証明書に対応する Web ブラウザでは DV / OV とは異なりアドレスバーが緑色に変色するため、Web サイトの閲覧者に一目で安全性をアピールできます。
    ※Windows 版 Chrome の表示例

<利用の指針>

  • クレジットカード番号や口座番号など金銭のやり取りに必要な情報を入力する Web サイト
  • Web サイトのブランドや安全性をよりアピールしたい Web サイト

<利用例>

  • ネットショッピングサイト、インターネットバンキングサイト、オンライン証券サイト
  • フィッシング詐欺に狙われやすいブランドのコーポレートサイト

 

【最後に】

繰り返しとなりますが、Web サイトを運営する側 (事業者) として、ユーザーの大事な情報 (個人情報や金融取引に関する情報など) が悪意のある第三者の手に渡ってしまったり、善意のユーザーが被害に遭うことが極力起きないように、適切なタイプのサーバー証明書を選択し真正性のある Web サイトであることを訴求していくことが必要になっております。

 

<証明書普及促進 WG>
主査:田上 利博 (サイバートラスト株式会社)
副主査:稲葉 厚志 (GMO グローバルサイン株式会社)
副主査:駒場 一民 (一般社団法人 JPCERT コーディネーションセンター)

<会員組織>
田島 悟志 (NTT コミュニケーションズ株式会社)
山本 健太郎 (一般社団法人 JPCERT コーディネーションセンター)
川田 晋嗣 (セコムトラストシステムズ株式会社)
林 正人 (デジサート・ジャパン合同会社)
加藤 孝浩 (トッパン・フォームズ株式会社)
伊藤 健太郎 (一般財団法人日本情報経済社会推進協会)
新井 亮 (株式会社日本レジストリサービス)
白岩 一光 (株式会社日本レジストリサービス)

<本件に関するお問い合わせ先>
■フィッシング対策協議会 (JPCERT コーディネーションセンター内) 事務局
電話:03-3518-6120