11月28日から12月1日にかけて、一般社団法人日本ネットワークインフォメーションセンター（JPNIC）主催の「Internet Week 2017 ～向き合おう、”グローバル”インターネット～」が、浅草橋のヒューリックホール＆カンファレンスで開催される。

セキュリティ関連のプログラムでは、(ISC)2が認定する情報セキュリティの国際資格であるCISSP維持のための「CPEクレジット」も貯められる。

情報セキュリティに関するプログラムの見どころを語ってもらう企画の5回目は、11月29日(水)に行われるプログラム「知らないと困る?! 認証局とHTTPSの最新動向」について、日本ネットワークインフォメーションセンター(JPNIC)の木村泰司氏に話を聞いた。


――2017年は証明書に関していろいろありましたが、このプログラムを企画した狙いを教えて下さい。

今年はWeb周りの認証、いわゆるHTTPSや認証局に関して、動きがあった年だと思います。例えば、SSLサーバ証明書の一種であるEV証明書について、大手事業者が発行する証明書でも「EVの表示にならない」ということが起こりました。また、TLSについてもバージョン 1.3 の仕様がほぼ固まり、いくつかの課題が解決したら実装が出回り始めるでしょう。

こういった変化が起きた時、Webサーバを管理している方々は、どう対応したらいいのでしょうか? Webサーバの設定はデフォルトでもそこそこ運用できるようになっているので、動いているサーバもたくさんあると思います。でもTLSや証明書の具体的な話となると、「TLS1.3を入れると何がいいのか？ネットワークへの影響は？」「サーバ証明書の見え方が変わってしまうのはなぜなのか？」など、結構迷われることがあるのではないでしょうか。

特に証明書に絡んだ話となるとサーバの設定上では分かりにくい問題が起こりがちで厄介ですし、CTログの扱いにしても良い面と悪い面があって判断しかねる事があると思います 。例えば公開前のWebサーバのホスト名が検索できてしまうなど、CTログで公開されている情報の是非について議論が続いています。このグローバルな組織間の関係が影響してくる話は、認証技術に詳しい一部の人には知られていても、必要に応じてWebサーバを動かす立場の人には分かりにくいのではないかと思います。この状況で橋渡しになるようなセッションを設けたいと思い、今回のプログラムを企画しました。

――「CTログ」とはどういうログですか？

CTログとは、「Certificate Transparencyログ」の略です。2011年頃に商用の認証局が不正な証明書を発行してしまう事件が起きたことから、同一のホスト名を持つような不正な証明書を検出できるように、Googleなどが提案しIETFで標準化された仕組みです。現在WebブラウザのChromeでは、このCTログに対応しているサーバ証明書かどうかを必ずチェックし、ユーザーが不正な証明書を見つけられる状態を一般的に作り出しつつあります。FirefoxにもこのCTログをチェックする動きがあります。
またブラウザと認証局の力関係が変わってきている、という点も注目すべきポイントです。

今回のプログラムでは、このあたりについてWebサーバなどを運営している方に分かりやすく解説したいと考えています。

――ブラウザと認証局の力関係が変わったからと言って、Webサーバを管理する方などが、具体的に何か対処すべき問題が起こるのでしょうか？

例えばいくつかの政府による認証基盤のWebサーバ証明書(日本ではGPKIと呼ばれる認証基盤によるサーバ証明書)は、ブラウザベンダーによる検査への対応に追い付いていないものがあります。もともと、CA/Browserフォーラムにおける基準とガイドライン、認証局における認証業務の監査という形で信頼性が担保されてきたという形だったものが、現在は更に、Webブラウザによる検査や無効化処理が行われていないもの、ということになります。この形態に対応できない認証局の証明書は有効と表示されないということが起こります。Webサーバに携わっている人は、ぜひ押さえておいたほうがいいところです。

無料で発行できる証明書である、Let's Encryptを使いたい方もかなり増えてきていると思います。このLet's Encryptのサーバ証明書はCTログに対応していて、DV（ドメイン・バリデーション）証明書としては技術への対応が早いものであると言えます。他の証明書との違いや特徴のあたりを今回のプログラムで押さえていただきたいと思っています。

――具体的にプログラムの中身はどのようになりますか？

ヤフー株式 会社の大津繁樹さんには、大規模なサービス運用を行う立場から知っておくべきTLSプロトコルの動向について話していただきます。Symantec社とGoogle社の関係に見られるトラストアンカーの仕組み、PCI-DSSで迫られるTLS1.0の廃止といった今の運用で押さえておきたいことに加え、将来的な話としてTLS1.3やQUIC(Quick UDP Internet Connections)という新しいプロトコルの動向と耐量子暗号についてもカバーして頂く予定です 。

その後、セコム株式会社IS研究所の島岡政基さんには、「今理解しておくべきWeb PKIを支えるトラストの動向」という観点で、先ほど話したCTログやその影響、ブラウザと認証局の力関係といった話をいただけると思います。

――このプログラムをどういう方に聴いてもらいたいでしょうか？プログラムの参加者やメッセージがあれば、それもあわせてお願いします。

Webサーバを動かしている方や、httpsの動向に関心を持っている技術者の方には、ぜひとも聴いてもらいたいと思います。

証明書とか認証局に関する最新動向は、ブラウザがグローバルに開発されているものであることから、国内動向だけを見ていてもダメという類いのものです。まさに、今回のInternet Week全体のテーマ「向き合おう、"グローバル"インターネット」の通り、普段運用などの業務がある中で、こういったグローバルな動きを、どういう風に効率的に押さえていけばいいのか、また具体的に「使える」情報をお伝えできればと思っています。

「証明書とかよくわからないし、無料だからLet's Encryptでいいや」ではなく、一歩進んだ、そして自信を持った証明書の選び方やサーバ運用をしていただければと思います。

多くの方のご来場をお待ちしています。