個人的な思いをクソリプしようと思ったのですが、長くなったので記事でまとめました!
ツイート
このツイートが盛り上がっています。
うわー!証明書がLet‘s Encrypt!東証一部上場企業のサイトとしては衝撃的やな…この会社の情シスのレベルとか、この会社がサイバーでの信用というものをどう考えているかとか、色々考えさせられるわ… https://t.co/9UMVfA6BUl
— 上原 哲太郎/Tetsu. Uehara (@tetsutalow) June 5, 2018
このツイートの後、この件について御本人が色々話しています。
勝手に切り貼りして「こんなこと言ってます!」ってまとめるのは誠実じゃない気がするので、以下から見てください。
やり取りの中で、EV/OV/DVの違いや、そのセキュリティ的なメリットを享受するためのリテラシについて上原先生は丁寧に説明されていますね。
さすがに分かりやすいです。
「EVがその仕組的に最もセキュア」というのは、一意見として決して否定されたり疑問視されたりするものでは無いと思います。
(社会貢献度なども鑑みてLet’s Encrypt至高という人がいたとしても、別に「セキュリティ的にEVがベストだよね」という意見にはあえて食ってかからないはずです。)
衝撃的なのかな?
個人的には当初のTweetで違和感を感じた部分は、「うわー!…衝撃的やな」の部分です。
「DVよりセキュアなものがある」と「DVを使うことが衝撃的(ネガティブな意味で)」というものの間にはかなり隔たりがあります。
現時点で私にはDVが衝撃的という認識はありませんでした。
せっかくなので私見をまとめてみます。
EVの方がセキュアって?
「EV/DVを比較した際にEVの方がセキュアである」
というのは、具体的には「実在性確認がより厳密」「実在性確認が容易」ということと考えられます。
ただ、以下の点からユーザがそのメリットを享受できているとは考え辛い状態です。
- 実在性確認を理解して行う習慣がない人がいる
- 世の中のサイトには 「EV/OV/DV/SSLなし」 いずれのサイトも混在していますが、その違いを理解しない人・証明書の確認を行わない人は存在します。おそらく少ない割合ではないと思います。
- 「なりすましを防げる」ではない
- 実在性確認は「そのサイトがなりすましでないことを証明できる」でしかなく、「なりすましの存在を防げる」わけではありません。他でなりすましのサイトを作られても、そこでアラートを出すなどは不可能です。
「実在性確認に必要なリテラシが低くて良い」という点に関しては、比較してベターではあるものの、守るべきユーザ保護の視点では求められるレベルが高すぎます。
もちろん操作としてはある程度容易に作られていますが、その意味を理解した上で仕組を活用してもらうのは難しいことです。
「高さ5Mのハードルと10Mのハードルでは前者の方が低くて良い」というのと同様です。
EV導入のメリット
私がクライアントからEV導入に関して尋ねられたとします。
「ユーザをフィッシングサイトから守るものか?」
という質問には、「技術的にはそのように作られているが、現実的にはそうではない」という回答にならざるを得ないでしょう。
「ユーザのサイトに対する信頼度を高めるものか?」
という質問も、「技術的にはそのように作られているが、導入に足る効果を示すデータを持っていない」と回答せざるを得ません。
EV導入が必要なとき
では、EVの導入はいつ必要になるのでしょうか。
常識になったら必要
ブラウザのアップデートによって実在性確認をユーザが必要なタイミングで当然のように行える世の中になってきたら、これは間違いなく必要になるでしょう。
……ただ、その頃には今のリスト型の実在性確認よりも「万一の被害の弁済が担保されている証」のような、時代が必要とする新しいものが出て来ている気もします。決済周りから進んでいくのではないでしょうか。
誠実さを示すために必要
また、上原先生も「誠実」と表現している通り、EVやOV(+ 信頼できるCA)の選択はある意味「誠実さ」の表れにはなると思います。
私も国関係のプロジェクトや通信系の会社のウェブサービスであればEVの導入を勧めます。
これは、よりセキュアな社会を実現すべき「立場」的に必要な誠実さだと考えています。
また、敵やウォッチャーが多い企業に関しても、突っ込みどころは少なければ少ないほどよいので、EV導入を勧めるかもしれません。
今回の森永の件もLet’sEncryptでとりあえずSSL化して、次にEVにしましょう……みたいな話をすると思います。
ただ、それでも「突っ込まれないようにしとこう」という感じであって、「導入しなければ叩かれる」という立場では無いと思います。
今回の発言の行方次第で必要
また、今回の上原先生の発言が引き金で、「Let’s Encryptが許されるのは未上場企業までだよねー」という空気が作られたら、それはそれで対応すべきとなるでしょう。
日本企業のウェブ担当はそういうのに激弱です。
それを狙っての発言だとしたら策士なのだと思います。
結論
今回の森永の件でのLet’s Encrypt導入は果たして衝撃的だったのでしょうか。
「ご迷惑おかけしました、セキュリティしっかりやります」という立場であれば個人的には必須という結論にはなれませんでした。
……「どちらがよりセキュアか」みたいな軸で語られてばかりだったので、自分が違和感を覚えたポイントが違ったこともあり、かなり私見を書きまくってしまいました。
ツッコミどころは多いかと思います。
できれば「ちがう!お前なんもわかっていない!アホ。こういうEV導入すべき理由があるんだ!半年ROMってろ!!」という意見を頂けると嬉しいです。