地方自治体のSSL/TLSサーバ証明書の調査結果を深堀しました

筆者:JIPDEC
インターネットトラストセンター 事業推進グループ
伊藤 健太郎


JIPDECは、インターネット上の情報の信頼性(トラスト)の確保に取り組んでいます。具体的には、Webサイトやサービスの正当性や実在性を客観的かつわかりやすく確認できる仕組みが必要です。Webサイトの正当性についての確認手段として代表的なものがSSL/TLSサーバ証明書です。
2018年6月25日、JIPDECは「地方自治体のSSL/TLSサーバ証明書利用状況の調査結果」をプレスリリースしました。
その詳細については、「常時SSL/TLS化調査レポート|自治体サイト対応状況」で、公表しました。
本コラムでは、プレスリリース等で発表した内容以外のもので、皆様の関心がありそうな事項を紹介します。なお本コラム内では、SSL/TLSサーバ証明書を「SSL」と簡略に表記します。


様々な認証局が発行しているSSL

国内では複数の認証局によってSSLの発行が行われております。発行をしている認証局ごとに特長があり、EV証明書、OV証明書、DV証明書、3種類全ての証明書サービスを提供する認証局もあれば、1種類または2種類だけの証明書サービスを提供する認証局と様々です。また、この証明書サービスの種類は、発行される証明書の中に記述される内容にも関わり、発行に至るまでの審査の内容が変わります。認証局によっては発行するSSLにサイトシールを付与し、そのサイトシールに脆弱性診断ツールを付与するなどサービスに付加価値を持たせることも行っている認証局もあります。
こういったサービスの種類や付加価値としてのサービスの内容、発行している認証局により価格に差が出てきます。


自治体における認証タイプ別、認証局を調査しました

それぞれの認証タイプの証明書が、次のグラフにある通り、日本国内ではさまざまな認証局があることがわかります。自治体のサイトにおけるEV SSLはD社が46.7%、G社が26.7%、M社が13.3%でした。



尚、本コラムに記載をしている円グラフにおける色分けは共通となり、以下の通りです。

グラフ色分け

地方自治体向けEV証明書を発行する各認証局 図1:自治体向けEV証明書を発行する各認証局

同じくOV証明書については、D社が30.6%、次にE社が23.4%、G社16.7%となっています。


自治体向けOV証明書を発行する各認証局 図2:自治体向けOV証明書を発行する各認証局

更にDV証明書では、G社で65.4%でした。F社が10.3%、I社が9.2%でした。


自治体向けDV証明書を発行する各認証局 図3:自治体向けDV証明書を発行する各認証局

常時SSL化されているにもかかわらず、サイトシールが掲載されていない?

常時SSL化されているサイトについても、サーバ証明書が発行される際に提供されているはずのサイトシールを掲載していないものが多々見かけられました。本来、常時SSLの「暗号化」は「Webサイトのなりすまし防止」の役割を担っており、そのことがサイトシールによって一目でわかるべきはずですが、地方自治体のサイト運営者の意識はまだ至っていないのが現状なのかもしれません。

なりすまし対策としてのサイトシールの掲載や、JIPDECが提供しているROBINSシールのような組織の実在性を審査したサービスによって、サイトの信頼性の可視化は必要です。


今後取り組むべき施策としての常時SSL

これらの調査結果を踏まえつつも、JIPDECとしては、必ずしも地方自治体の全てのサイトを常時SSL化すべきと主張するものではありません。なぜなら地方自治体のサイトは、フィーチャーフォンによるアクセスを考慮しなければならないからです。ただ、現実問題として常時SSL化対応が求められる中で、地方自治体のサイトは、フィーチャーフォンによるアクセスの受け付けを終了することを、検討せざるを得なくなるかもしれません。

今後、特に懸念されるのが、災害対策です。すなわち、大規模な地震や水害などに際して、被災地の地方自治体になりすましたサイトが設置され、そこから偽の情報が流されるというリスクを認識する必要があります。さらに、被災地において悪意ある者がWi-Fiを設置した場合、SSL化されているページ以外では、この悪意あるWi-Fi経由で情報が盗まれ、悪用される可能性があります。SSLの設定は地方自治体のサイトにアクセスしてくる人たちを守ることや、悪意のある第三者に加担しないということに主眼があることを、地方自治体が理解するとともに、住民に説明していくことが肝要でしょう。

なお、地方自治体のサイトの常時SSL化を進める中で、なりすまし対策という側面からも利用する証明書は、OV証明書やEV証明書にする必要性も認識される必要があるでしょう。


※この調査は、サイバー法人台帳ROBINSに登録されている自治体のデータを基に実施しました。具体的には、ROBINSに登録されている自治体のURL情報を利用し、フィードテイラー社のツールを介して、各自治体のWebサイトにおけるSSLサーバ証明書の利用状況及び常時SSLの設定状況を調査しました。

ページの先頭へ戻る