ナレッジ

Extended Validation証明書

通常のwebサーバ証明書より信頼性の高い証明書

EV証明書の概要についてIT用語等をできるだけ平易にしながら説明する。個人情報等の機密情報を取り扱うwebサイトでは、webサイトの実在性証明及び通信される情報の秘匿等を目的とした「webサーバ証明書」が一般的に使用されている。昨今、一部の電子認証事業者が、通常のweb サーバ証明書より、さらに信頼性の高いものとして「Extended Validation証明書」(EV証明書)の発行を開始している。

EV証明書とは

個人情報等の機密情報を取り扱うwebサイトでは、webサイトの実在性証明及び通信される情報の秘匿等を目的とした「webサーバ証明書」が一般的に使用されている。昨今、一部の電子認証事業者が、通常のweb サーバ証明書より、さらに信頼性の高いものとして「Extended Validation証明書」(以下「EV証明書」という。)の発行を開始している。本稿ではEV証明書の概要について説明する。なお、IT用語等をできるだけ平易に説明するので、専門家の方などにとっては言葉足らずと思われる箇所があるかもしれないので予めご留意頂きたい。 

EV証明書と通常のwebサーバ証明書の相違点

EV証明書と通常のwebサーバ証明書の相違点は大きく「審査基準の統一」、「webブラウザのアドレスバーの変色」の2点に集約することができると思われる。

 

(1)審査基準の統一  

 通常のwebサーバ証明書も、電子認証事業者が所定の審査を行った上で発行しているが、審査基準は各電子認証事業者の裁量に委ねられており、特に統一されたものではない。例えば、申請組織に登記簿謄本や印鑑証明書の提出を求める電子認証事業者もあれば、何らの書類の提出も求めずに証明書を発行する電子認証事業者もある。電子認証業務に関する規準及び監査の制度としては、米国公認会計士協会及びカナダ勅許会計士協会による「WebTrust Program for Certification Authorities」(以下「WebTrust for CA」という。)があるが、それはwebサーバ証明書の審査基準の詳細内容までを規定していないため、WebTrust for CAに適合する電子認証事業者であっても、審査基準の厳密さには大きな隔たりがある。審査基準が厳密さを欠くことは、証明書不正発行のリスク(例えば、異なる組織になりすまして不正に証明書の発行を受けること等)につながる。

 一方、EV証明書を発行するためには電子認証事業者やブラウザベンダによる業界団体である「CA/ブラウザフォーラム」が定める「GUIDELINES FOR EXTENDED VALIDATION CERTIFICATES」(以下「ガイドライン」という。)に準拠する必要があり、ガイドラインには明確な審査基準が定められている。また、ガイドラインによれば、E V 証明書を発行するためには、 WebTrust for CA及びガイドラインへの準拠性について、監査を受けることが必要とされている。

 

(2)webブラウザのアドレスバーの変色 

 通常のwebサーバ証明書の場合も、当該証明書に係る審査基準は、電子認証事業者が「認証業務規程(Certification Practice Statement)」(以下「CPS」という。)等の文書により開示しているため、CPS等を読めば審査基準を判断することが可能である。しかし、そのためには一定の知識と労力が必要であり、必ずしも簡単に判断できるものではない。

 EV証明書の場合、マイクロソフト社のInternet Explorer 7.0を使用すれば、EV証明書と通常のwebサーバ証明書を、アドレスバーの色によって区別することが可能である。(EV証明書の場合はアドレスバーが緑色になり、通常のwebサーバ証明書の場合は白色のままである。)このため特段の知識や労力を必要とせずに、当該証明書に係る審査基準を判断することが可能である。

ガイドラインに示された審査基準の概要

ガイドラインに示された審査基準の概要は次のとおりである。

 

(1)申請組織の実在性の審査

•申請組織が法的に実在することの審査

•申請組織の事業所が物理的に実在することの審査

•申請組織の事業が実在することの審査

 

(2)EV証明書に記載するドメイン名に係る申請

•組織の所有権(または使用権)の審査

 

(3)申請組織においてEV証明書発行が承認済みであることの審査

•契約名義人、証明書承認者、証明書申請者の氏名、役職、権限の審査

•契約名義人が利用規約にサインしたことの審査

•証明書承認者が、証明書発行申請にサインした、または承認したことの審査

電子認証事業者のEV証明書への取り組み状況

マイクロソフト社のwebサイト(注)によれば、2007年1月現在において、マイクロソフトルート証明書プログラムに参加している電子認証事業者(80事業者)のうち、EV証明書を発行しているのは15事業者に限られるようである。

 日本国内では、2007年1月30日付けで、電子認証事業者を中心に有限責任中間法人日本電子認証協議会が設立され、ガイドラインの日本語化や、日本国内における解釈の明確化等の活動を行っている。

お役に立ちましたか?