サイバートラスト

SSL サーバー証明書導入事例 : 一般財団法人日本情報経済社会推進協会(JIPDEC)様

プライバシーマーク制度や「サイバー法人台帳ROBINS」等を運営するJIPDECは、2016年に合計 20 の Web サイトに EV SSL 証明書(SureServer EV)を一括導入し、常時SSL化しました。その時の導入に向けた取組や、導入後の効果等についてお話を伺いました。

(2018 年 7 月アップデート)

JIPDEC の事業内容:『安心・安全な情報経済社会を目指して』

―― JIPDEC 様の事業内容についてお聞かせいただけますか?

 JIPDEC は、1967 年の設立以来50年に渡り、電子情報を安心・安全に活用していくために必要な技術や制度に関して調査研究・提言を行う一方、情報化推進施策を社会に浸透させるためのけん引役として、基盤整備的な事業を積極的に進めて参りました。

 現在では、プライバシーマーク®制度の運営や、情報セキュリティマネジメントシステムの普及啓発に加え、ネット上のビジネス環境を信頼できるものにするための「JCAN 証明書」、「サイバー法人台帳 ROBINS」などの仕組みを提供し、より安心・安全な情報利活用環境構築を支援しています。

SureServer EV 導入の背景:『事業ごとに Web サイトを運営。種類の異なる証明書が混在』

―― これまでの SSL サーバー証明書の利用状況についてお聞かせいただけますか?

JIPDEC では、コーポレートサイトだけでなく、事業ごとに Web サイトを持っています。2016 年当時、運営していたサイトは全部で 20 サイトありましたが、EV SSL サーバー証明書を導入していたのは2サイトだけで、それ以外は OV SSL サーバー証明書や簡易的なドメイン認証を行う DV SSL サーバー証明書を使っていました。また、SSL による暗号化通信は、個人情報を入力・表示するお問い合わせフォームのページや一部のサイトだけに限られていました。さらに、Web サイトの運営を各事業部門で管理していたため、SSL サーバー証明書も各事業部門で取得していました。

―― 常時 SSL 化にあたっては利用者や社内からの要望があったのですか?

 当時、常時 SSL 化に向かう流れが進みつつあることは把握していたので、いつ対応すべきか時期を考えてはいました。また、JIPDEC が提供しているサイバー法人台帳 ROBINS は、EV SSL 証明書を発行する際の「正式な組織の英語名称」の根拠となるデータベースとして認められていることもあり、JIPDEC の Web サイトはすべて EV SSL 証明書に統一し、利用する方により安心してアクセスしていただける環境作りに配慮していることをお伝えしたい という思いもありました。

 ただ、サイトごとに証明書の発行元や有効期間もバラバラな状態でしたので、一度に足並みを揃えることは難しく、なかなか具体的な議論や検討に進むことができていませんでした。

SureServer EV 導入の目的: 『証明書の管理で発生する見えないコストを削減』

―― 導入にあたっての目的はどのようなものだったのでしょうか?

 各Webサイトはそれぞれの部署で管理していたため、証明書もそれぞれの Webサイトの管理者が個別に見積もりを取って発注していました。それを、バラバラと情報システム部門に設定を依頼している状態だったので、証明書の購入コストだけでなく運用コスト面からも見直す必要がありました。

 そこで、管理の現状を洗い出したところ、証明書の発行元を一本化して証明書の有効期間を統一することで、証明書の管理がシンプルになり、運用コストが削減できることが分かりました。

―― それにしても、20 もの数の Web サイトを一気に常時 SSL 化するというのは大変だったのではないでしょうか?

 この時は、広報室と事業部門の若手メンバーが積極的に手を挙げて、導入に向けた手順の検討や他部門との調整をしてくれたことで、スピーディに導入まで進むことができました。

 まずは広報室が管理する JIPDEC サイト(https://www.jipdec.or.jp/)を先行して EV SSL 証明書+常時 SSL 化する手続きを進め、その流れに各部門にも乗ってもらうプランを立て、各部門での手続きが省力化されるメリットを共有することで、一気に話が進み、20 サイト同時に常時 SSL 化することができました。なので、今回導入してから最初の更新手続きを行いましたが、各部門は期限切れを意識しなくて済み、負担軽減につながりました。

SureServer EV 導入後の反応: 『常時 SSL 化への関心は高かった』

―― SureServer EV を導入して、反応等はありましたか?

 外部の方から直接、評価のお声をいただくことができました。また、全 Web サイト常時 SSL 化を Web サイトでご案内したのですが、アナウンス直後だけでなく、その後も1年以上にわたり、その案内ページの閲覧者数が多いことから、現在、多くの企業で導入を検討されているのではないかと思われます。

 いよいよ常時 SSL 化対応が必須となっている昨今の状況を考えると、あの時に対応してよかったと、実際に導入の調整をしてくれたメンバーに感謝しています。

SureServer EV を選んだ理由: 『「発行スピードの早さと証明書管理の容易さ」で運用コストの削減を実現』

―― SureServer EV を選んで頂いた理由をお聞かせいただけますか?

 やはり発行スピードが早いというのは大きなポイントで、短期間のうちに全サイトへの導入を完了することができました。また、それぞれの証明書の管理が一括で行える SureBoard というツールも大変魅力的です。

―― サイバートラストでは、フィッシングサイトの撲滅のために EV SSL 証明書の導入と常時 SSL 化を推進する「ALL GREEN 運動」という活動を行っています。これについてご意見などがありましたら伺えますか?

 「ALL GREEN運動」は、フィッシングサイトの撲滅のために有意義な活動だと思います。政府のサイバーセキュリティ戦略本部が平成30年6月7日付で公表した「政府機関等の情報セキュリティ対策のための統一基準群の見直し(案)について」には、サービスの利用者の側に立った対策として、『政府機関等の全WEBサイトの常時暗号化』の義務化が明記されています。

JIPDEC でも、地方自治体の常時 SSL 化状況の調査を行うなど、よりインターネット環境の信頼性を高める活動を行っているので、今後もこのような運動には協力していきたいと考えています。

■常時 SSL/TLS 化調査レポート|自治体サイト対応状況
https://itc.jipdec.or.jp/aossl_local-government/201806.html

Corporate Profile

一般財団法人日本情報経済社会推進協会(JIPDEC)

1967 年の創立以来、半世紀近くの間、日本における情報化推進のため、技術的・ 制度的課題の解決のために様々な活動を展開されてこられた JIPDEC 様。プライバ シーマーク制度の運用や、ISMS の認証機関の認定をはじめとする各種事業を通し て、情報の保護と利活用に関する信頼関係構築を目指しています。
https://www.jipdec.or.jp/