セキュリティ
2017.10.10 (Tue)

3ヶ月ほど前でしょうか、情報処理安全確保支援士の試験に合格しましたというエントリを書きました。

資格資格と書いてますが、まだ「士として登録できる権利を得た」だけで、これから情報処理安全確保支援士としての登録手続きになります。(書くかどうかはともかく)正式に名刺とかに書けるのは今年の10月1日からです。

という訳で、あれから色々手続きを行いまして、10月1日づけで正式に情報処理安全確保支援士になりました。士業を名乗れる国家資格を持ったのは人生初です。

20171009_riss
(セキュリティの知識がある人なら合格は難しくないです。合格率は16%ぐらい)

弁護士さんのように独占業務がある訳ではないので仕事が何か変わるってことは特にありません。名乗れる以外に特典は無いに等しいのに、関連法律を守る義務(破ったら罰金)と講義受講の義務(毎年1回)だけ背負うという…(笑) まぁ、この資格に悪評が多い理由です。

が、当社はWebセキュリティ分野のサービスを提供(Webを静的化するesparというWebサービス)しているので、代表である自分が関連資格を持ってるってことには意味があると考えてます。

しかし、

20171009_risslogo
(情報処理安全確保支援士のロゴがでかでかと掲げられるIPAのサイト)

御覧の通り、資格保有者であることを示すロゴが残念というのと、資格の名称から何の専門家か分からないという2点を理由に僕は名刺には印刷しない予定。会社の紹介資料とかサイトにちょっと文字で書くぐらいですかね。資格試験をやってるIPAは完全にマーケティングを失敗してます…勿体無い。

とはいえ、一応国のお墨付きを貰った専門家です。

登録された以上(IPAのサイトに名前が公開された)は、専門家として恥ずかしくない振る舞いを心がけつつ、啓蒙という意味でセキュリティに関するアウトプットを積極的に行っていこうと思う次第です。


2017.09.20 (Wed)

ICO(Initial Coin Offer)の話題が盛んです。FinTechがらみ。

20170920_blockchain
(Thanks! the photo on flickr by BTC Keychain CC BY 2.0)

今流行りの(?)ブロックチェーン上に実装される独自のトークンを使って資金調達をする新たな Equity 調達手法として脚光を浴びていますね。株式で資金調達するのがIPOなら、デジタルクーポンで資金調達するのがICOというザックリ解説で間違ってはいないでしょう。

テックビューロさんの COMSA が発表されてからというもの、ネット界隈とくにIT系ベンチャー界隈でICOは今が旬なワードです。IPOを越える資金調達が可能だ!とか。かねてより僕はIPOそのものを疑問に思ってるので(参照 : この日本で本当にシード段階の投資が出来るのか)、新たな資金調達手法が開発されるのは喜ばしいことだなぁと注目している次第。

ちなみにICOとは何ぞやという話は以下が詳しいですので宜しければご一読を。

今、国内のICOで最も話題なのは、前述のCOMSAと単独ICOに成功しわずか1週間で3億円超を調達したALISでしょう。COMSAALISも書き出すととても長くなるので割愛しますが、今回はウチがいま主力サービスとしてやっているWeb静的化事業という観点から ALIS がもっと評価されるべきポイントについて書いてみたいと思います。

20170920_alis
(次世代のメディアサイトを目指すALIS)

ICOでWeb改ざんは致命傷

ICOの一般論ですが、仕掛ける側は開発しようとするサービス内で利用できるデジタルなチケット(トークン)を販売します。それをICO参加者は仮想通貨で購入します。将来そのチケットの価値が上がって儲けられるという可能性に期待して。

IPOでは証券会社の口座に金を入れてIPO株を買いますが、ICOでは事業者指定の仮想通貨口座に仮想通貨で支払う訳ですね。そうするとデジタルなチケットがゲットできる。あとはサービスのローンチを待ってそのチケットを使うと。これがICOのよくある形式ですね。

20170920_aliswallet
(ALISのサイトでもICO参加者に支払先を伝えるページがある)

さて、ではICOをやる側が一番やってはダメな事はなにか。それは、

Webページを改ざんされてしまうこと

です。「この口座に仮想通貨を振り込んで下さい」と書いているWebページが改ざんされて、悪意ある第三者の口座番号にすり替えられたらどうなるか。もう目も当てられませんね。信用は地に落ちますし、事業は瀕死状態になるでしょう。実際、そんな事件もありました。

ALISのWebサイトは改ざんされようがない作り

ALISのWebサイトには、サーバサイドプログラムもフレームワークもデーターベースも、なーーんにも置いていません。Google Chrome のプラグインで見ると分かります。

20170920_webapplyzer
(サーバサイドのフレームワークは使ってない)

S3にhtmlファイルを置いているだけですね。いわゆる静的Webサイトです。また、通常、問い合わせフォームのような動的要素は改ざんリスクをあげますが、それも mailchimp という外部サービスを使うことで回避してます。

Webサイトの脆弱性って「サーバサイドプログラムを意図しない形で作動させられること」ですから、そもそもプログラムもDBも何もないなら攻撃しようがないという訳ですね。

ALISのサイトを初めて見た時にやけに軽いなぁ…と思ったのです。

20170920_alisspeed
(Chrome拡張の SONARによる計測。LOAD TIME 1秒台前半は静的化サイトであることが多い)

これは明らかにCMSは動いていない静的サイトだなと。ウチはCMSサイトを静的化するサービスをやってるぐらいですから、Webページの反応速度を見れば動的か静的化ぐらいは何となく分かります。で、ちょっと調べてみたら Medium に ALIS 中の人がちゃんと書いてました。

危険なICOプロジェクトの見分け方(チーム運営編・前編)

動的なアプリケーションが動くということは、つまりクラックされた時にサイトを改ざんされる可能性があるということを意味する。私の意見としては、本当に必要でない限りは静的ページとすべきであり、サーバを運用すべきではない。

これはもう100%同意。CMSサーバをそのままネットに晒すから脆弱性が生まれる訳で。サイトを攻撃されたくないなら、CMSをそのままネットに晒すべきではなく、静的化するまたは静的サイトとして作り直すのが理想です。論理的に攻撃しようがないのですから。(http/https層では)

ページが1ページの single page で作り易かったということもあるのでしょうけど、WordPress + WAF とかで防御するとか、WordPress + WAF + 改ざんチェックという構成ではなく、そもそも改ざんされない構成にしたというのは ICO サイトとして出資者の事を考えれば当然の配慮だし素晴らしいなと、思ったわけです。

技術知見に伴うこういう小さい工夫。とても大事です。ALISは、国内初のICOだとか、事業のコンセプトが良いとか、そういうところが期待感と共に評価されているのを感じますが、ALISのオフィシャルサイトが完全な静的化サイトであるということはもっと評価されて良いと思います。

 

そして、今後のWebサイトは、不必要な攻撃リスクを抱えない為にも静的化を推し進めていくべきだし、そうなっていくだろうと思う次第です。FinTechとWebサイトの静的化ってパッと見、何の関連性も無さそうなんですが実は身近で紐付いたということで書いてみました。

あ、ちなみに、ALISのICOには1ETHだけ参加(出資)してます。関係者皆様には申し訳ないですが、コンテンツ系でのICOは正直中長期的に厳しいだろうなと見ていて大金は投じていません。ICOに参加するならこうあるべしという三大条件を個人的に持ってまして、それはまた改めて書いてみようと思います。


2017.08.07 (Mon)

先日書いた「会社のサイトをEV証明書で常時SSL化しました」の続きです。このエントリの中で、こんなことを書いてました。

証明書の選択基準としてお話するのは、

  • お金節約したいなら無料のDV証明書(か、無料オプション付きのレンタルサーバ)
  • お金をかけれるならEV証明書
  • お金かけてのDV/OV証明書は費用対効果が低いのでオススメしない

こんな感じ。ウチは別に証明書の販売代理をしている訳ではないので、ポジショントークではないです。2017年のネット界隈を冷静に見て、良いものを安くのスタンスで考えたら必然的にこうなるのです。

これを実際の数値を並べて論証したいと思います。数値といっても結局は価格なのですが、価格の一覧に併せて価格妥当性についての所感も書いてみました。だいぶ長文になりましたが、前回のエントリとこのエントリをお読み頂ければ、お金をかけて証明書を取るならEV証明書以外の選択肢は有り得ないと感じて頂けると思います。

20170807_feedtailor-certificate.png
(当社サイトの証明書詳細。Extended Validation とあり、EV証明書であることが分かる)

証明書種別毎の価格表 (2017年8月6日現在)

証明書の価格表というと、有名な Server Kurabe さんとこの価格比較表ページがあります。が、今回は証明書種類ごとに列挙したかったのと、ブランドの数を多めに並べたかったので、ゼロベースで独自の価格調査を行いました。

価格をまとめたのが以下。

認証局が海外企業で日本法人があるブランドや、日本企業のブランドは価格を円表記にしました。当初調べたのは6月でしたが、本エントリを書くにあたって2017年8月6日時点で再度確認しています。

DV証明書
(ドメイン認証型)
OV証明書
(組織認証型)
EV証明書
手続き 超簡単 少し面倒 面倒
取得できる主体 個人 企業・組織 企業・組織
アドレスバーの表示
(Chrome v60)
証明書の
年間費用
(税別)
GeoTrust¥31,300¥55,000¥115,200
Symantec-¥81,000¥162,000
GlobalSign¥34,800¥59,800¥128,000
COMODO¥9,600¥25,800¥71,500
cybertrust-¥75,000¥150,000
SECOM-¥55,000¥135,000
Entrust-¥32,900¥59,000
DigiCert-$139$234
RapidSSL¥4,300--
CoreSSL¥990--
Let's Encrypt$0--

証明書の価格は本当にレンジが広すぎて、どれが良いのか悩ましいですよね。しかも証明書の種類で何が違うかもよく分からない。機能差なんてほぼ皆無で、アドレスバー表示が違うだけなのにです。多くの制作会社様が証明書選びに悩まれるのも納得です。

20170807_prices.jpg
(Thanks! the photo on flickr by Robert Sarkozi CC BY 2.0)

証明書価格の妥当性?

証明書の価格妥当性が議論されることは余りありません。上の表の通り、証明書発行元から直接買う場合でも既に価格レンジが広すぎるし、レンタルサーバ会社等の証明書販売代理店を経由して買うと劇的に安くなったりして、何が何やら訳が分かりません。

特にEV証明書の販売店経由の価格差は酷くて、例えば、

という感じ。なんなんでしょうね、この割引率。販売店通せば7割引って一体…。価格ってなんだ?と突っ込みたくなる意味不明さです。

言い方は悪いのですが、市場における標準的な価格が捉えにくいってことは、言い値商売である可能性が高いと言えなくもないです。機能差やその本質的価値が捉えにくいのですから尚更ですね。

証明書の発行は所詮プログラムで自動化されたデジタル処理に過ぎません。証明書の「仕様」は決まってますし、デジタル処理な訳ですから手間暇かからないシステムになってます。CSRの受付から発行済証明書を申込者にメールで返送するまでの処理はほぼ自動化されている筈。

認証局(CA)として認められ続けるコストもあるでしょうが、価格的裏付けとしては弱い。OV/EV証明書に関しては、書類作ったり、企業の存在を確認したり、電話かけたりと作業人件費も発生するでしょうが1,2年に1回ですから年間10万円とかの価格裏付けとしては弱い。それに、証明書事業を何年もやってるなら、発行システム構築費用の減価償却も多くの場合は終わっているでしょう。

などなど、冷静に考えるとEV証明書はもっと安くても良い。

そんな視点で探して目についたのが前述価格表の DigiCert でした。歴史ある認証局で、TwitterやGitHubなどもここの証明書を使っています。

20170807_twitter.png 20170807_github.png

DigiCert は他社と違って日本支社は存在せず、主に2社の販売代理店を通して日本の企業に証明書を提供しています。EV証明書の価格はこの通り。

DigiCert国内販売店EV証明書(1年)EV証明書(2年)
cybertrust¥54,600¥100,000
アールエムエス¥32,800¥59,800

どちらの会社も DigiCert の日本代理店であることを強調したWebサイトを持っていますので是非ご覧頂ければと。

20170807_rms.png
(古くからDigiCertの日本販売代理店をしているアールエムエス社)

20170807_cybertrust.png
(digicert取り扱いは後発cybertrust社。同社の別の証明書商品SecureServerとの違いが分からない)

信頼感と価格バランスが取れた証明書の最安値だなと判断し、ウチは前者のアールエムエスさん経由で DigiCert のEV証明書を取得したという訳です。その結果、当社オフィシャルサイトはこうなりました。

win_firefox_zoom

年額3万円で圧倒的安心感。十分に価値があると思うんですよね。

20170807_httpseverywhere.jpg
(Thanks! the photo on flickr by EFF Photos CC BY 2.0)

常時SSL化の証明書にお金をかけるならEV以外ありえない

まとめると、

DV証明書
(ドメイン認証型証明書)
OV証明書
(組織認証型証明書)
EV証明書
アドレスバー
証明書の年間費用 安価
(無償 〜 約3万円)
ほどほど
(約3万円 〜 約8万円)
実は安く取得可能
約3万円

こうなります。だから常時SSL化する為に証明書を取得する場合、

  • お金をかけるなら、アールエムエスさんで DigiCert のEV証明書を取得
  • お金をかけないなら、無料の Let’s Encrypt または zenlogicXSERVER 等の証明書無料オプション付きレンタルサーバ
  • 無料DV証明書に比べてDV/OV証明書の有料取得は費用対効果が低いのでオススメしない

が僕の今のところの見解です。これはまぁ、証明書販売をしている関係者の方からすると全く面白くない意見かも知れませんけども。でもこれが、2017年の証明書事情から導かれる論理的着地点です。

『証明書だけが価値じゃないでしょう?』

そんな意見もあります。確かにそうなのです。実際、特別な付加価値が提供される場合もありますからね。例えば、Webサイトにマルウェアが仕掛けられてないか定期チェックしてくれるサービスがついてくるとか、取得した証明書を管理できるWeb画面を提供してくれるとか、プレミアム感のあるサイトシールをサイトに貼ることができるとか、そういうの。

でもこれらは、常時SSL化には本質的に無関係です。マルウェアチェックは他の改ざん検知サービスを使えば良いし、証明書管理ならサーバ管理をやってくれるベンダーに任せれば良いのです。シールだってウチが契約した年相当3万円の DigiCert EV でも使えますから、何か超特別な付加価値って訳でもない。

20170807_feedtailor-evssl-seal.png
(アールエムエス社経由の DigiCert EV証明書でもシールはちゃんと使える)

厳密に言うと、古いガラケー向けサイトのSSL対応の可否とか、次世代暗号形式のECC対応の可否とか、難しい話も色々あるのですが、2017年のWebの現状と直近のWeb事情を見据えた時、不要またはオーバースペックと判断して差し支えありません。

今、常時SSL化を考えている方は、アドレスバーに会社名が表示されなくてもいいなら、有料の証明書は不要。つまりこの状態にするのに証明書を買う必要はありません。

win_firefox_dv

お金をかけられるなら、信頼感と価格のバランスがある最安値の DigiCert EV証明書をアールエムエスさんから購入するのがお勧めです。別に先方の関係者という訳ではありませんのであしからず。手続きもとっても簡単なのでオススメです。

win_firefox_zoom

共有サーバを使っていて無償の証明書オプションが無い…という方は、最安値のDV証明書狙いでしょうね。万単位のお金をかけてDV/OV証明書を取得する理由はありません。どうせお金をかけるなら繰り返しになりますが年3万円で DigiCert 社のEV証明書をオススメします。

 

さて、また長くなってしまいました。今回は、証明書の価格調査結果と、EV証明書のオススメ取得先について書いてみました。常時SSL化にあたって証明書取得に悩んでおられる方の何かヒントになれば幸いです。

あ、ちなみに。

ウチが提供しているCMSサイトの静的化サービス espar では、静的化ついでに証明書に関する煩わしいこと全てをお引き受けしていたりします。常時SSL化の設定が面倒くさいなぁとか、これを機にEV証明書にしてみようかぁ〜、なんて思われたら是非お問い合わせ下さい。