るために欠かせない要件です。例えば“インターネット上にあるショップが実在していて、真っ当に運営されているという実態があって、ショップへ個人情報やクレジットカード情報を送っても外部に漏れず、改ざんされない”ということが確実に保証されていて、初めて私たちは安心してインターネットショップを利用できます。一方でサイトとそれを所有する組織の対応関係をユーザーに誤認識させ、偽サイトに誘導するフィッシング詐欺が近年横行しています。少し前までのフィッシングサイトは、なんとなく「怪しいのでは?」と感じるところもありましたが、今では真偽の判断が困難なほど偽サイトの精度が上がっています。そのようなことも受け、最近は特にサイトを所有する組織の実在証明の方法に関心を持って研究を進めています。サイトの安全性をアピールする際に使われる標準的な手法にサーバ証明書というものがあり、DV、OV、EVという3 4段階で安全性を証明しています。DV証明書はドメインの使用権を認証して発行される簡易的なもので、OV証明書はドメインの認証に加えてサーバを運営する組織の存在を認証したものです。EV証明書はサイトの運営組織が法的・物理的に実在しているか、組織が形だけでなく実際に運営されているかまで確認してから発行される証明書です。EV証明書の認証を得るためには、認証局と呼ばれる発行機関と複数の証明書類を交わす必要があり、認証局による組織への電話確認や第三者機関データベースへの組織情報の照会による実在確認があるだけでなく、取得に高額なコストも必要になるなど、認証局間の統一基準に基づいた複数の手続きや負担を求められるため、EV証明書に認証されたフィッシングサイトを立ち上げることを困難にしています。EV証明書を得たサイトは、運営する組織名がブラウザに表示され、ユーザーに安全性を強調してきました。しかしブラウ厳格な審査をクリアして発行されたザから組織名の表示を廃止するという大きな転換が2019年に訪れます。一見するとユーザーの安全性確保に反するような動きにも思えますが、スマートフォン利用者が増えたことがその理由の一つでした。スマートフォンはパソコンと比べて画面が小さく表示スペースがないこと、スマートフォン利用者はアプリ経由でサイトに移動するためブラウザを使うことがなくなってきたこと、ブラウザに組織名の表示がなくなってもユーザーの行動は変化しなかった(変わらずサイトを利用し続けた)と調査で確認されたことなどから、EV証明書の組織名表示は本来意図したようにユーザーを保護していないと判断されたことが、表示廃止に至る背景になっていると考えられます。ブラウザは世界中で利用されているものであり、世界標準で仕様変更されるため、必然的に日本を含めた世界中のブラウザから組織名表示が消える結果となりました。サイトとそれを所有する組織の対応関係をユーザーが正しく認知する技術的方法は、今のところ最良の方法が確立しているとは言えません。そのため、ユーザーが目的のサイトに常に正しくアクセスできる方法を模索することは、非常に重要な課題であり、フィッシング詐欺の被害を減らすことにもつながります。この問題が技術的に完全解決できればベストですが、現状ではその見通しは立っておらず、ユーザー側のリテラシーを向上させることも重要な課題だと感じています。私はセキュリティ対策の専門家ではありませんが、組織のなかで端末レベルからネットワークインフラの先まで一貫したネットワーク技術の運用とセキュリティ対策、セキュリティリテラシーの向上について包括的に研究してきました。前職で学内の情報サービスや情報環境を充実・改善すると、学生・職員の皆さんの利便性向上につながり、役立つというやりがいを実感できたことが研究のモチベーションにつながっています。引き続き技術面の改善と、ユーザーのリテラシー向上の両面について、広く世の中に役立つ研究をしていきたい、そしてそれらを学生にも伝えていきたいと考えています。安全性を確保する最良の方法を模索SSL/TLSサーバ証明書信頼性を保証する学術研究サーバ証明書の役割サーバ証明書の種類DV証明書OV証明書EV証明書==暗号通信の準備(改ざんの無い公開鍵の配布)証明書発行に要するサーバの運営組織の実在証明の違いサーバ証明書に記載されるドメインの使用権を有することが確認されるが、現実に運営組織が存在するか、ドメイン名と運営組織の関係などは確認されない。ドメインの使用権に加えて、現実に運営組織が存在することやドメイン名と運営組織の関係なども確認される。OV証明書の確認内容が統一基準に基づいて厳格に確認される。++サーバの運営組織の実在証明松山大学公式HPのサーバ証明書とその要約情報。CREATION NO.219
元のページ ../index.html#5