2018年05月30日Web知識一般

「公式Webサイト」であることを証明する方法について

「公式Webサイト」であることを証明する方法について

「○○公式サイト」

と掲載しているサイトをよくみかけますが、インターネットのユーザーにとって何をもってそのサイトが本当に公式であることを証明できるのでしょうか?

どれだけサイト運営者が「公式です!」と声高に謳っていても、第3者であるユーザーに対して公式であることを証明する材料になるとは限りません。

「ドメインは会社のIT部門できちんと管理してるから大丈夫!」
「Pマークのバナーも掲示してるから大丈夫!」

実はいずれも、インターネットの世界では証明する力があるとは言えないのです。

ドメインの情報

「ドメイン登録者が誰かわかれば証明できるでしょ?」

確かにドメイン登録者=そのWebサイトの運営者である可能性が高いので、ドメイン登録者がわかればそのWebサイトが公式であることの証明になりそうな気がします。

ちなみにドメイン登録者(「whois情報」といいます)についてはWebで簡単に調べることができます。

早速、弊社のwhois情報を調べてみましたが、残念ながら掲載されていたのは団体名まで。
住所(本店所在地)などの詳しい情報まではわかりません。

図1:whois情報検索結果画面(JPRSドメイン名登録情報検索サービスより)

図1:whois情報検索結果画面(JPRSドメイン名登録情報検索サービスより)

ご存知の方も多いかもしれませんが、住所が異なる等の条件はありますが、同じ社名の会社を設立することは可能です。
同じ社名で違う会社、という例はいくらでもあります。

また、「.co.jp」は法人のみが使用できるドメインですが、法人でなくても取得できる「.jp」や「.com」あるいは「.biz」等のドメインの場合、登録者情報そのものを詐称することも可能で悪用されるケースもあります。

ということで、ドメイン登録者の情報だけでは公式であることの証明にならないばかりか、混同を避ける役割も果たせません。

※ドメインについてさらに詳しく知りたい方は下記記事もご参照ください。
 今さら聞けない?ドメインにまつわるエトセトラ(前編)
 今さら聞けない?ドメインにまつわるエトセトラ(後編)

プライバシーマーク(認証制度)などの表示

プライバシーマークISO(国際標準化機構)等、認証制度のバナーを設置しているサイトも数多くあります。

これらの認証を受けた企業は固有のIDや番号が登録されるので、こうした番号等の入ったバナーを掲載しているサイトは、公式サイトとして一見「確からしい」印象を受けます。

認証機関のサイトで、その番号から企業を検索することももちろん可能です。

しかし、サイト内のコンテンツとして提供されている限りはデジタルデータの特性としてコピーも容易ですし、悪意を持ったユーザー(クラッカー)に書き換えられてしまう可能性もあります。

結論として、やはり公式であることの証明としては使うことはできません。

自己申告では通用しないインターネットの世界

インターネットの世界ではリアルの世界とは異なり、自己申告だけではサイトの公式性を証明することが難しいことがお分かりいただけたかと思います。

フィッシングやなりすましといった行為が横行するのもこうしたインターネットの特性によるものです。

ときどき、「当社の名を騙る詐欺のメールやなりすましのサイトによる被害が報告されていますので、ご注意ください」と掲載されているWebサイトを見かけることがありますが、そのWebサイトそのものが偽である可能性もあります。

金融機関のWebサイトを装ったフィッシングサイトで、丁寧にそのような注意文言まで偽装されていたという事例もあります。

SSL証明書の役割

インターネットにおける公式性を示す上で大きな役割を果たすのが「SSL証明書」です。

企業が取得するSSL証明書は「企業認証」か「EV認証」のいずれかがよく使われます。
どちらも取得の際には申請者である企業が実在するかどうかを審査するプロセスがあるため、「公式」であることを第三者の立場から証明することができます。

※SSL証明書については以下の記事でも詳しく説明していますのでご参照ください。
 今さら聞けない?SSL証明書にまつわるエトセトラ

早速、「企業認証」SSL証明書の中身を見てみましょう。

図2:企業認証SSL(OV-SSL)証明書

図2:企業認証SSL(OV-SSL)証明書

残念ながらwhois情報と同様、完全な住所情報を確認することができません。
仮に「rakuten」という社名の別会社だとしたら…ぞっとしますよね?

これが「EV認証」になると…

図3:EV認証(Extended Validation)SSL証明書

図3:EV認証(Extended Validation)SSL証明書

ご覧のとおり住所情報も表示されています。

他の情報(国税庁の法人番号検索など)と組み合わせればドメインの登録者である企業が実在し、かつ同じ社名による混同ではないことがわかります。

企業としてユーザーを守る責務

自社の社名を悪用して騙されるユーザーがいた時に、客観的にみて自分たちと偽物とを区別できる状態を用意していなかったとしたら…

もちろん一番悪いのは悪意のある攻撃者ですが、企業にはユーザーを保護するためにできるだけのことをしておく責任があります。

「Webサイトはすべてセルフサービスだ」という言葉がありますが、画面の前でユーザーは孤独であり、自分の判断で選択や操作を進めていかなければなりません。

だからこそ、第三者による認証を改ざん不能な技術で提供する必要があります。

企業のインターネットリテラシーやコンプライアンスに対する要求も高まる昨今、自社が運営するWebサイトが公式であることを正しく証明することも、必要不可欠になっているのだと思います。

Getting Betterとは

企業の忙しいWeb担当者(Web担当者)の方のために、コーポレートサイトやオウンドメディアの運営に欠かせない情報やトレンド・ノウハウを解説するブログです。

日々のサイト運営のご参考になれば幸いです。

IMAGICA Lab.のWebサイト構築サービスについてはこちら
https://www.imagica-imageworks.co.jp/web/

「株式会社IMAGICAイメージワークス」は、2018年10月1日に「株式会社IMAGICA Lab.」となりました。

トップへ