【サイバーセキュリティ】＜国内外営業マン必見＞SSL証明書で見るその企業の内情とは

今回の記事は前回の続きで、お伝えしましたSSL証明書に関して紹介します。SSL証明書を理解しているだけで個人だけでなく、国内外新規開拓している営業マンの方にも必見だと思います。

①前書きーーーなぜ? 海外営業マン必見なのか
②サイト（ドメイン）とSSL証明書から何がわかる
③「SSL証明書」はサイトが本物である証明

①前書き

当方が海外にいたころ「先方（新規取引予定の海外企業）の状況ことがよくわからない」と、日本から出張で来たビジネスマンの声をよく耳にしていました。
国内営業でしたら「会社登記（法務局）」「帝国データバンク」や「紹介」などである程度の情報は入手できますが、海外になるとそうはいきません。

特に海外に子会社・パートナー企業がない、海外に接点の少ない企業、ローカル言語やローカル商慣習に精通している人材が不在のケースなど、何かしらの判断材料がほとんどない中、その取引先候補の何をもって判断するのか難しいところです。

企業プレスリリース会計年度「FY（Financial Year）」を見ても各国会計基準や連結決算、為替などの複合的要因により大きく変わりますので正しく読み解くのは難しいと考えます。

各国の事情は異なれど、スマホ（携帯）は身分証なしで購入できたり、実名を謳っている『Facebook』も偽名・通名でアカウント作成できたりと企業はおろSSLの本人でさえ本物かわかりません（当方の経験）。

では、ローカルの方は何をもって新規取引するのでしょう。その場で現金取引しつつも保障のため自宅や家族情報を時間をかけ押さえます。海外子会社や関連企業、ローカル採用がない国内企業の営業マンが海外で新規取引先を開拓するはかなり高いハードルといえます。

前置きが長くなりましたが、国内外問わず先方URLやSSL証明書からその企業がどれだけ自社サイトにお金や時間をかけているのかわかります。その情報の入手と、それらを読み解いていきます。

②サイト（URL）とSSL証明書から何がわかるか

■ドメイン使用期間

Internet Archive: Digital Library of Free & Borrowable Books, Movies, Music & Wayback Machine

上記サイトにて、WAYBACKMachine検索枠にドメインを入力すると、そのサイトがいつ公開し、更新した日や内容がある程度わかります。
例えばドメイン『note.com』の場合、1997年4月11日から履歴があります。

注意する点は、ドメインが廃止、もしくは売買・譲渡すれば所有者が変わります。

『note.com』というドメインを取得したけど、所有者に何かしらの事情がありサイトの閉鎖・ドメインの廃止をした場合、もしくはドメインの売買・譲渡したことにより新たな所有者に変わり引き継がれます。

上記サイトで、知りたい会社のサイトを入力すると履歴だけでなく、「サマリー」「サイトマップ」「URLs」がわかります。コンテンツ、記事の公開日、サイトがどのように変移してるのかよくわかります。

■企業の信頼度
SSL証明書はサイトの「運営者の実在証明」を表しています。第三者機関の認証局（以下「CA」）が証明しており、認証レベルによりそのサイトの信頼度が変わります。認証されていれば🔒マーク（https）がURL左に表示されます。

一方、CAが認証していないサイト（http）はURL左に「▲セキュリティ保護なし」や「▲保護されていない通信」などが表示されます。ブラウザにより文言が変わりますが、🔒マークがなく通信が暗号化されていません。

暗号化されていないということは、情報が暗号化されずまる見えの状態です。悪意のある第三者は、この暗号化されていない情報（平文）を盗み悪用します。「なりすまし」「改ざん」「盗聴」です。

🔒マークがないから、そのサイトは×ではありません。SSL証明書がまだ普及されていない、昔からあるサイトは🔒マークがありません。また、アングラサイト（ディープサイト）も🔒マークをほとんどみません。

国内上場企業の約400社はいまだSSL化していないようです。

■認証局とは
CAには「プライベートCA」と「パブリックCA」に分けられます。端的に言えば、「プライベートCA」は個人・法人問わず自由に構築できる認証局で、「パブリックCA」は第三者機関が審査し開局している認証局です。

③「SSL証明書」はサイトが本物である証明

認証局が発行したSSL証明書には、暗号化通信だけでなく「サイトが本物である」ことを証明します。

イメージ図

SSL証明書があることでサイトが本物であることがわかります。SSL証明書は「ドメイン認証：DV（Domain Validation）」「企業認証：OV（Organization Validation）」「EV認証（Extended Validation）」の三つにわけられます。

DV認証はドメインのみで認証され証明書が発行されます。「○○.com」があれば取得でき、個人や企業、組織が実際に存在するか否かは問いません。個人でも企業でも申請すれば当日内に取得できます。料金は無料～数千円です。これらの理由により、DV認証は信頼性が高くありません。また、サービスとしてフィッシングサイト対策をしているところもあるようです。フィッシングサイトの多くはこれに該当するでしょう。国内上場企業で半数近く使われています。

企業認証はドメインに企業や組織が実際に存在するか確認後、証明書が発行されます。企業・組織が対象で、個人では申請できません。発行日数も数日間かかります。料金は数万円かかります。サービスとしてフィッシングサイト対策もしています。これらの理由により企業認証は信頼性がミドルクラスだと言えます。国内上場企業のうち、約4割が導入しています。

EV認証はドメインに企業や組織が実在確認後、証明書が発行されます。企業・組織対象で、発行日数も1週間前後かかるようです。発行料金は数十万円かかります。信頼性は高いため、金融機関で多く導入されています。国内上場企業で約1割使われています。

企業認証やEV認証は信頼性が高いですが、”問題ない”とは言い切れません。悪意のあるサイトを運営しているかどうかわからないからです。一つの判断材料として当方は認証局（CA）を確認しています。世界的大手なのか、違和感がないのか調べます。例えば、米国企業なのにわざわざ東欧にある認証局が発行した証明書を取得している、とかです。

海外営業の方は、訪問する前にサイト（ドメイン）の各種履歴とSSL証明書と発行した認証局（CA）を読み解くことができれば、この企業はサイトにどれだけのコストと時間を割いているのかわかるかと思います。

また、実在する会社かどうかは各サービス提供会社によるものが大きく、電話確認でOK、メール確認でOKする会社もあるため、何とも言えます。更にやっかいなのが、SSL証明書からDV認証と企業認証の違いがよくわからない点にあります。EV認証はアドレスバーが緑になるためわかりやすいです（ブラウザによります）。

『株式会社フィードテイラー』サイトより引用

『フィードテイラー』によると、国内上場企業の内、SSL化対応している企業は3425社の全体の約9割、SSL未対応が400社の約1割のようです。

常時SSL化 調査レポート 上場企業サイト対応状況（2022年9月版）

最後までお読みいただきありがとうございました。