 |
運用個人情報保護法時代のIISセキュリティ対策(後編)―― IISにSSLを導入する ―― 1.サーバ証明書サービスの選択小田原 貴樹(ハンドル・ネーム:うりゅう)2005/10/14 2005/10/15 更新 |
|
|
前編では「SSL基礎の基礎」ということで、暗号化通信の必要性やSSLの仕組みなどをご紹介した。どちらかといえば概要的な話に終始したのだが、この後編ではSSLサービスの比較に始まり、実際の契約手続き、IISへのSSL導入手順など実践的な内容をご紹介する。読了後、明日にでもSSLの導入を開始できる内容だと思うので、お付き合いいただきたい。
サーバ証明書発行サービスを選択する
前編でご紹介したとおり、SSLを導入するということは、「暗号化とサーバの実在証明のためにサーバ証明書を購入してサーバに設定する」ということだといえる。このサーバ証明書を発行してくれる「信頼された第三者認証局」にはいくつかの種類があり、さらに、こうした公的証明書サービスをビジネスとして提供している会社は数十社に及ぶ。SSLを導入するためには、まず「どの公的SSLサービスを選択するか」が重要だ。
| 企業名 | 日本ベリサイン | 日本ジオトラスト | 日本コモド |
| 商品名 | |||
| 価格(1年間) |
8万5050円
|
3万6540円
|
5万7750円
|
| 鍵の長さ |
40〜256bit暗号化
|
128bit暗号化
|
128bit暗号化
|
| 企業実在証明 |
○
|
×
|
○
|
| 認証方式 | 書類認証(印鑑証明・法人登記簿など) | オンライン認証 | 書類認証(印鑑証明など) |
| 発行スピード | 書類到達・入金確認後:約2週間 | 入金確認後:最短2分 | 普通書類到達後:即日または翌営業日 |
| モバイル対応 | ○ |
×
(一部最新機種のみ対応) |
○ |
| 備考 | ・課長職以上の申請責任者への電話確認有り ・「エクスプレスサービス」(1万2600円)を利用すると、発行までの期間が約2営業日に短縮される |
・企業実在証明が入っている「トゥルービジネスID」という商品も存在する | ・料金は証明書発行後の請求 |
 |
|||
| 主要3社のサーバ証明書発行サービス比較 | |||
| 現在、日本国内で公的SSLサービスを提供している会社として、代表格といえるのが「日本ベリサイン」/「日本ジオトラスト」/「日本コモド」の3社である。ほぼ同様のサービスを提供していながら、料金・手続きに必要な時間などは大きく異なる。各社のサービスの違いを最も代表的な(最も安価な)商品を基準にして、以下の表にまとめてみた。 | |||
それぞれに一長一短があり、どのサービスを選択するかが悩ましい。どのサービスを選択するかは、利用者のポリシーやその時々の状況によるだろうから、一概にいずれかを推奨することはできない。ただ、筆者の見解としては、以下のように状況別の利用形態を検討することで、どのサービスを選択するべきかの答えが得られると考えている。
●モバイル対応の必要性
SSLを導入しようとしているWebサイトで、モバイル(携帯電話)端末からの入力を暗号化する必要があるかどうかが選択基準になる。モバイル対応が必要な場合、日本ジオトラストのサービスを選択すると、導入後に予想外の事態に遭遇することがあるので要注意だ。ちなみに筆者の経験の話をすると、モバイル向けのショッピング・サイトを作成してSSLを導入しようとしたことがあった。筆者はいつも日本ジオトラストを利用しているので、普段どおりの手続きでIISにSSLを導入し、PCでの確認も終了していた。だが、いざ携帯電話から実際にアクセスすると、エラーが表示されアクセスできなかったのだ。サーバ証明書は顧客の経費で購入してもらっていたので、どうやっていい訳しようか悩んだのはいうまでもない。たが、逆にモバイル対応が不要ならば、日本ジオトラストのサービスが最も安価で手軽である。
●企業実在証明の必要性
日本ジオトラストの「クイックSSLプレミアム」は、企業実在証明(その会社が、間違いなく存在し、営業しているという証明)が付いていない。サイトのアドレスだけが証明される形式になっているため、「あるサイトが、サイトに記載されたとおりの企業によって運営されているかどうか」の証明にはならない。この場合、フィッシング詐欺に対する保証が利用者に対して行えないという問題がある。企業実在証明を必要とするかどうかは、利用者のポリシーに準ずる、ということになる。
●発行までの時間の問題
上記の表では、高価な商品ほど発行までの所要時間も長くなる傾向にある。表中の発行までの期間は、各社の公表数値である。日本ベリサインと日本ジオトラストの2社は、いずれも必要書類の郵送や料金の振り込みといった作業が完了してからの期間である。これに対し日本コモドは、料金は後払いであり、支払い作業は別に
した手続き完了からの期間となっている。実際には、印鑑証明/法人登記簿などが手元に用意できているとは限らないし、利用料金の振り込みにも一定の時間を要するため、思ったよりも時間が掛かることになる。
日本ベリサインの場合は、課長職以上の申請責任者への電話での確認作業も含まれることになり、システム担当者の決裁権を越えてしまうこともあるだろう。逆にいえば、それだけ企業の実在証明に手間をかけているということであり、サーバ証明書の信頼性を重要視しているともいえるだろう。なお日本ベリサイン/日本コモドとも、帝国データバンクなどの企業情報機関に情報が登録されている企業の場合は、(1)発行までの期間が短くなる、(2)必要書類が少なくなる、といった措置が取られている。
サーバ証明書の発行とSSLの利用開始までに十分な余裕がある場合には問題にならないが、必ずしもそういったケースばかりではないだろうし、また、サーバ証明書の発行に関わる一連の手間を軽減したいといった場合についても、日本ジオトラストのサービスが有効だと考えられる。料金の振り込みを除けば、すべての作業がオンラインで完了するというのは非常に魅力的である。
結論としては、「モバイル対応の必要性」が選択基準だと考えられる。モバイルでの利用が必要でなければ、日本ジオトラストを選択するのがコストとスピードの両面で効率的だろう。一方、モバイルでの利用が必要な場合には、日本ベリサインと日本コモドのどちらかを選択するかということになる。日本コモドの特徴の1つは、サービス料金が後払いであることだ。ほか2社が入金確認後に実際の発行手続きに入るのに比較すると、入金を待たずに発行手続きが進むので、場合によっては日本ジオトラストよりも素早く証明書を獲得できるケースもあるだろう。
ただ、こうしたセキュリティに関するサービスについては実際のコストパフォーマンスより、「ブランドが持っている安心感」というものが重要になることが少なくない。特に、顧客のシステムを構築する場合などは重要な要件になりうる。そうした観点では、「ベリサイン」という業界トップ・シェア企業の商品を選択するのも悪くない。
 |
 |
| INDEX | ||
| [運用] | ||
| 個人情報保護法時代のIISセキュリティ対策(前編) | ||
| 1.暗号化通信の需要 | ||
| 2.SSL基礎の基礎 | ||
| 個人情報保護法時代のIISセキュリティ対策(後編) | ||
 |
1.サーバ証明書サービスの選択 | |
| 2.CSRの生成と証明書の申請 | ||
| 3.SSLのセットアップ | ||
 |
||
| 更新履歴 | |
|
 |
運用 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
