サイバートラスト製品サービス導入事例

SureHandsOn が、管理者の手間を大幅に軽減。サーバー証明書の申請・発行の厳格さはそのままに、手続きは一層簡単に。

事例企業：株式会社サイバーエージェント

業種：ソフトウェア・情報通信・IT 　規模：301～2,000人

事例カテゴリ：業務効率化ネットワークセキュリティ

目的：証明書マネージドサービス SureHandsOn の活用

採用製品： SSL/TLS サーバー証明書 SureServer SSL/TLS サーバー証明書 SureServer ウェブサイト

導入前の課題

扱う証明書の数に比例して、証明書のライフサイクルを管理するコストが増大していった

導入の目的・解決手段

証明書の発行管理にあたり、当社マネージドサービス SureHandsOn を採用

導入効果

証明書の申請や設定を自分達の都合のよいタイミングで管理できるため、証明書の管理コストが削減

サイバートラストは、サーバー証明書を大量に発行・管理するために専用の管理ツール「SureHandsOn（シュア・ハンズオン）」を開発し、すでに多くのお取引先様にご利用いただいております。さまざまなウェブサービスで数多くの証明書を利用しているサイバーエージェント様も、SureHandsOn をご活用いただいている企業のひとつです。

2014 年 7 月取材

抜群の知名度と、伴うリスク：情報の盗み取りやフィッシング詐欺の標的になりかねない

―― 御社の事業内容と社風をご紹介いただけますでしょうか。

当社はインターネットというフィールドで、「Ameba 事業」、「インターネット広告事業」、「スマートフォンゲーム事業」、「投資育成事業」の4 つの事業を展開しています。これらのうち、当社の代表的なサービスである　Ameba では、ブログやゲーム、そしてアバターサービスである「アメーバピグ」をはじめとするコミュニティサービスを提供しています。PC やスマートフォン等で、月間　3,000 万人を超えるユーザーにご利用頂いております。
インターネットに関わる技術やサービスは海外で生まれ、その後日本に展開されるというパターンが多いと思われます。ですが当社は、企画力や技術力を強化することで「世界に通用するプロダクト」を開発し、グローバルで通用する、日本発のインターネット企業になることを目指しています。このため、型にはまらず、自由な発想を持って積極的にチャレンジすることが求められています。これらを実行するために、自由に意見交換ができる風通しのよい雰囲気があります。

―― 御社におけるインターネット上のセキュリティについて、どのようなお考えをお持ちでしょうか。

当社のB to C サービスが成長していくにつれ、情報の盗み取りやフィッシングの標的になりかねない立場となりました。そのため近年は、セキュリティに大きなリソースを注ぐようになりました。以前に比べれば、急激に変化しているところですね。

―― サーバー証明書のご利用状況は?

現在、当社は Ameba やゲームのユーザー登録、およびログイン等、機密情報を扱うサイトでは全て、SSL サーバー証明書を使用しています。さまざまなフィッシングサイトが存在するインターネットにおいて、当社も例外なくフィッシング対策が必要です。ユーザーをフィッシング詐欺から守り、機密情報を保護するために、証明書は必ず使用しています。

―― 証明書の管理で、どのような課題がありましたか。

多くのサーバーやネットワーク機器で証明書を使用していますが、証明書というのは、一度インストールして動作確認したら手が離れるというものではありません。使用期限が満了する前に更新が必要です。更新のためには、鍵ペアを作成し、認証局へ更新の申請をして審査を受け、発行された証明書をインストールして検証して、という作業の繰り返しです。証明書のライフサイクルを管理するためのコストというのは、実は証明書の購入価格以上に注意しなければならないものと考えています。

導入の決め手：携帯・スマホ対応率は業界トップレベル管理コストは大幅に削減

―― 弊社の SureServer を選んだ理由は?

まず、携帯電話やスマートフォンでの対応が業界トップレベルであったことですね。当社の事業の特性からして、そこは絶対条件です。その点、サイバートラストさんの SureServer 証明書は、昔からトップレベルを維持していますよね。
次に重要視しているのが、先程も申し上げました、「管理コスト」の削減。具体的には、サイバートラストさんの「SureHandsOn」が利用できることによって、それが実現できています。

―― SureHandsOn のご感想お聞かせください。

1 年に一度だけ審査を受ければ、サイバートラストさんは当社用の申請サイトと発行サイトを SaaS 貸与してくれますよね。ですから 1 年間、当社は好きな時に使えます。発行サイトも貸与してくれるということは、自分達で申請するのみならず、自分達で発行もできるということです。もちろん、審査で合格した範囲の内容の証明書しか作成できないように制御をかけて頂いているので、私たちも安心して、さまざまな社員に SureHandsOn を勧めています。
また、新サービスのためのシステムを立ち上げる、あるいはリニューアルを行う際、証明書の調達や設定というのは、かなり後の工程で対応する傾向にあります。前の工程に遅延が生じてもリリース日は変えないということはあり得ますから、そういう時は非常に忙しいうえに、証明書の申請や設定も期日までにやりきらなければなりません。ですから、自分達の都合のよいタイミングで申請して、しかも自分達で発行まで出来てしまう SureHandsOn の仕組みは、とてもありがたいです。

他社より簡単、メニューも充実：業務内容やスタイルにあわせて効率的な操作が可能。更新のストレスも少ない

―― 他社のマネージドサービスと比較して、SureHandsOn はいかがですか?

SureHandsOn のようなマネージドサービスを、他の認証局も提供していることは知っていますし、実際、過去に使用したこともあります。しかし、ユーザビリティやメニューの充実度では、SureHandsOn が抜きんでていると思っています。
第一に、「入力」という行為を極力排除された作りになっています。したがって、申請と発行の両方とも、とても早く処理することができます。また、過去や現在に使用している証明書の情報を管理する画面を、簡単にカスタマイズができるので、各社員の業務内容やスタイルにあわせて効率的に操作できます。
もう一つ、「満了日あわせ」も強力なサービスですね。当社は相当な枚数を利用していますし、証明書に携わるサーバー管理者も多数います。システム構成や担当者の都合にあわせて、特定のサービスの証明書の満了日を統一させたり、逆に分散させたり出来るのは、管理コストの削減という点で非常に有効です。一度にまとめて更新作業を済ますこともできれば、逆に分散させて作業負荷を平準化することもできるのですから。

インタビューを終えて

昨今、猛威を振るっているフィッシングサイト被害の事例は、ほとんどが B to C サービスを対象としたものです。被害に合った会社は、「被害者」でありながらも、エンドユーザーに迷惑をかけたということで「加害者」という厳しい立場にも晒されてしまいます。その点、このたびお話をうかがったサイバーエージェント様は、情報セキュリティに関して早くから対策に取り組んでいらっしゃいました。

サーバー証明書にできることは 2 つあります。一つは通信の暗号化ですが、これはもはや、世の中のインターネットユーザーから「導入されていて当然」と見なされる域に達しています。もう一つは「そのサイトの運営者が本物かどうか」という実在認証です。多くの Web 管理者様や一般のユーザー様のご意見に耳を傾けますと、昨今のフィッシング被害により、世間はすでにこの「実在認証を重要視している」ということを痛感しております。

私どもサイバートラストは、すでに情報セキュリティの常識となった「暗号化」はもちろん、「実在認証」がもたらす安全・安心なインターネット社会の在り方について、多くの方々と価値観を共有していきたいと考えております。また弊社は、サイバーエージェント様のように、大量に証明書を申請・管理しているお取引先様に対し、できるだけ手間を省いた管理が実現できるよう、力を注いで参ります。
弊社は業界の安売り王を目指すのでなく、お取引先様の面倒な管理を減らすことで、「サイバートラストの証明書は安全な上に、管理が容易」と実感していただけることを目指して参ります。