Hosting Expert

第8回SSL証明書を活用した堅牢サイト運用のコツ part.2

前回は、SSL証明書が必要となる背景や基本的な技術、仕組みについて解説しました。今回は、SSL証明書の種類を紹介するとともに、実際に利用されているシーンを想定したSSL活用のポイントについて紹介します。

SSL証明書の種類

インターネットにおける通信の安全を確保するために開発された「SSL(Secure Sockets Layer⁠⁠。このプロトコルには、WebサイトとWebブラウザの間の通信を暗号化する機能、データの改ざんがないか安全性をチェックする機能が用意されています。しかしプロトコルだけでは、Webサイトが犯罪目的の架空事業者が悪用するのも難しいことではありません。

そこでSSLには、Webサイトを運営する企業の存在を第三者の「認証機関」が証明する「SSL証明書」を発行し、通信が安全であることを認証する仕組みがあります。SSL証明書が正しいかどうかによって、Webサイトの安全性を担保しようというわけです。

このSSL証明書には、いくつかの使い方や種類が存在しています。その1つに「企業認証SSL」があります。これは、企業の法人登記簿謄本、あるいは信用調査会社の情報を基にSSL証明書を発行する第三者認証局が企業の実在性を認証するというものです。企業の実在性を第三者に認めてもらうことで、Webサイトを訪問する顧客は安心して取引できるというメリットがあります。

企業認証SSLでは高度な暗号化機能もセットで提供されるため、顧客の安心感を高めるだけでなく、フィッシングなどのようなセキュリティ対策に取り組んでいるというアピールにもつながることでしょう。大手企業の子会社や関連会社、社内ベンチャーなど、Webサイトの運営母体がある程度信用できる企業である場合は、企業認証SSLよりもリーズナブルな「ドメイン認証SSL」を利用することができます。これは、主にWebサイトとWebブラウザ間の安全な通信に主眼を置いたSSL証明書のサービスであり、ドメインに対してSSL証明書が発行されます。

多くのホスティングサービス事業者は、レンタルサーバで共有SSLが利用できる機能を用意しています。しかし共有SSLの場合、SSLのWebページに移ったとたんに今までとは異なるドメイン表示になることがあります。これでは顧客を戸惑わすことになり、結果的にそのWebサイトから離脱してしまう顧客も少なくありません。それを防止するためにも、ドメイン認証SSLは効果的なソリューションと言えます。

従来は企業認証SSLとドメイン認証SSLの2 つが主流でしたが、昨今のフィッシング詐欺の高度化により、さらに信頼性の高いSSL証明書の発行が望まれるようになりました。そこで登場したのが「EV SSL」です。

EV SSLは、世界の第三者認証局とWebブラウザベンダーが設立した「CA ブラウザフォーラム」によって策定されたSSL証明書です。EV SSL証明書は、法人登記された民間企業または政府機関だけに発行されます。ドメインの使用権はもちろん、証明書の取得を申請した責任者の権限、実際に事業を行っている所在地の確認など、これまでのSSL証明書に比べてはるかに厳格な審査が行われます。

SSL証明書が必要なWebサイトとは

では、SSL証明書はどんなWebサイトに必要になるのでしょうか。

まず誰でも思い浮かぶのは、オンラインショッピングサイトのように金銭のやり取りが発生するWebサイトです。とりわけ決済のためにクレジットカード番号を入力させるページには、SSL証明書の適用が必須と言えるでしょう。言い換えれば、SSL証明書を発行しないようなオンラインショッピングサイトを開設・運営すべきではありません。利用者側も、SSL証明書が発行されないような信頼できないWebサイトから商品を購入してはいけません。

金銭のやり取りが発生しないWebサイトでも、個人情報を入力させるページを設ける場合にはSSL証明書を利用することが望まれます。氏名、住所、電話番号、生年月日などの個人情報は現在、非常に重要な機密情報と考えられています。個人情報の管理がずさんで万一情報漏えいが発生した場合には、法令によって処罰されることもあります。

そのような個人情報を入力させるWebサイトでは、入力フォームを置いたページだけでも確実にSSLによる通信を行うようにしましょう。こうしたWebサイトの例としては、商品の問い合わせや資料請求フォーム、有償/無償にかかわらず何らかのサービスを提供するための会員入会フォーム、アンケートの回答やキャンペーンの申し込みなどのページが挙げられます。最近は迷惑メールを排除するために、メールアドレスだけを入力させるフォームであってもSSL証明書によって認証されていることが望まれるようになっています。

信頼性向上に取り組む第三者認証局

ここまでの記事でSSL証明書の重要性は理解できたと思いますが、同時に疑問を持った読者も多いのではないでしょうか。その疑問とは、第三者認証局そのものが果たして信頼できるのかどうかという点です。

SSL証明書の発行元は第三者認証局という名前で呼ばれ、いかにも公的機関のように見えますが、実は営利目的の一般企業です。しかし、企業を認証するという第三者認証局の社会的責任は、インターネットが全世界に広く普及した今、非常に大きいものがあります。したがって第三者認証局が過失を犯してしまうと、インターネットそのものの信頼性を損なうことにつながるおそれがあります。

そこで第三者認証局を運営する各社は、その運営方針をドキュメントに明文化して公開し、その内容に基づいて運営されていることを第三者に監査してもらうといった取り組みを行い信頼性を向上させています。

また、SSL証明書を発行するサーバが設置されたデータセンターも物理的に極めて堅牢な構造にしており、厳重な運用管理体制を敷いていると言います。

このような体制で臨む第三者認証局の中には、認証局の過失によって発生した損害に対し多額の賠償金で保証することを表明しているところもあります。第三者認証局そのものが果たして信頼できるのかどうかという疑問については、SSL証明書を必要とするWebサイトの運営者も、そのWebサイトの利用者も「信頼できる」と考えてよさそうです。

おすすめ記事

記事・ニュース一覧