Secure Hosting:安全なWebサイト運営を実現する SSLの基礎知識

第1回SSLを利用して自社サービスのユーザに安心を

高まる個人情報保護の気運

ビジネスでインターネットを利用するメリットとして、顧客と直接コミュニケーションを図れることが挙げられます。これにより、ダイレクトに商品を販売するショッピングサイトの運営やメールマガジンを利用した情報提供、会員制Webサイトによるユーザーサポートなど、さまざまな用途でインターネットは活用されるようになりました。ただ、こうした活動の多くは顧客の個人情報を取得することが前提になっているということには注意が必要です。

たとえば、ショッピングサイトであれば課金のために名前やクレジットカード番号、商品の送付先となる住所を入力してもらわなければなりません。メールマガジンの送付においても、最低限メールアドレスの入力は必要でしょう。会員制Webサイトであれば、IDやパスワードの管理が生じるわけです。

1980年、OECD(Organisation for Economic Co-operation and Development:経済開発協力機構)は、個人のプライバシーに関わる情報を保護するべきであるというガイドラインとして「OECD8原則」を採択します。これを受けて、日本でも2005年に「個人情報保護法案」と呼ばれる法律が全面施行されました。このように個人情報の重要性が認識されるようになったことで、名前や住所、クレジットカード番号といった個人の特定につながる情報の保護は、企業の重要な責務の1つとして認識されるようになりました。

安全な通信を実現するSSL

問題は、個人情報の送受信にインターネットを利用する場合、通信経路の途中で内容を盗み見られる⁠盗聴⁠や、第三者に書き換えられてしまう⁠改ざん⁠のリスクが存在するという点です。つまりWebブラウザ上で入力された個人情報を何の対策も講じずに送信してしまうと、個人情報が漏えいする危険性があるというわけです。

こうした問題を解決するために、インターネット上で重要な内容を送受信する際に使われている技術が「SSL(Secure Socket Layer⁠⁠」です。SSLには通信内容を盗み見られても、その内容が判別できないように暗号化する仕組みがあり、盗聴を防ぐことができます。また通信内容が改ざんされた場合に、それを検出するための仕組みも提供されています。

しかしながら、もしそのサーバが悪意のある第三者によって用意された⁠偽の⁠Webサイトだった場合はどうなるでしょう。いくら暗号化や改ざん検出を行っても、最終的に悪意のある第三者の手に個人情報が渡ってしまうことになります。つまり、暗号化や改ざん検出だけでは個人情報は保護できないわけです。

第三者機関による証明で認証を実現

偽のWebサイトを使って個人情報などを盗む詐欺の手口は「フィッシング詐欺」と呼ばれ、インターネット上で猛威を振るっています。このフィッシング詐欺のポイントとして挙げられるのが、偽サイトの多くが有名なWebサイトに似せて作られているという点です。

そもそもWebサイトを構成する文字や画像は、複製が容易なデジタルデータであり、オリジナルに似せたWebサイトを構築することは難しいことではありません。つまり見た目だけでは、オリジナルなのか偽サイトなのかの判断をユーザができないというわけです。そこで、ユーザが本物のWebサイトであることを確認できる認証の仕組みを提供することが必要となります。

SSLではこの認証の仕組みを、⁠そのWebサーバの所有者を第三者機関である認証局によって証明する⁠ことで実現しています。このときに利用されるのが、サーバ証明書と呼ばれるものです。

SSLでは、サーバ証明書に記載された名前やメールアドレス、サーバの場所(URL⁠⁠、さらにはそのサーバ証明書の持ち主を証明した第三者機関などの情報を使って、サーバの所有者を明らかにし、利用者が認証できる仕組みを提供しています。このサーバ証明書が使われているWebページにアクセスすると、たとえばInternet Explorer 7であればURLの横に鍵マークとともに所有者の名前が表示されます。ユーザはこれを見ることによって、Webページには○○社と表示されているが、本当に○○社のWebサイトなのか、それとも偽のWebサイトなのかの判断が可能になるわけです。

信頼性を高めるためのSSLの仕組み

では、本物のサーバ証明書が偽のWebサイトで使われたり、あるいはサーバ証明書が偽装されるといった危険性はないのでしょうか。まず偽のWebサイトで使われることを防ぐために、サーバ証明書の中にはWebサイトのURLが記載されています。本物のサーバ証明書を偽物のWebサイトで使うと、証明書内に記載されたURLとアクセス先のWebサーバのURLが違うことをWebブラウザが検知し、エラーを表示します。

また証明書の内容は、第三者機関によって電子的な署名が行われています。具体的には、証明書の内容を使って暗号化した内容が電子署名として添付されており、正しい証明書であれば問題なく復号が可能です。しかし改ざんされた証明書の場合、電子署名を正しく復号することができず、改ざんされたことがわかるのです。

また、実はSSLで利用する認証局は誰でも構築することができます。このため、たとえば悪意のある第三者が自分で構築した認証局でサーバ証明書を発行し、それを偽サイトで使うといったことも可能なわけです。

ただ、これを放置するとSSLそのものの信頼性が揺らぎかねません。そこでWebブラウザには事前に信頼できる認証局が登録されており、それ以外の認証局から発行されたサーバ証明書を受け取った場合は、ユーザに注意を促すようになっています。つまり、ユーザから信頼してもらうためには、Webブラウザに登録されている、信頼性の高い認証局の証明書を使う必要があるということです。

認証局選びのポイント

現在、SSLのサーバ証明書を発行する商用の認証局は多数存在しており、またサービス内容も多様化しています。その中からどうやって最適な認証局やサービスを選べばよいのでしょうか。

まず、認証局選びでもっとも重視すべきことは信頼性であることは間違いありません。信頼性のない認証局から発行されたサーバ証明書はユーザの信頼を得られず、インターネット上におけるビジネス展開に支障をきたす可能性すらあります。各認証局のWebサイトやカタログを読んだり説明を受けたりして、信頼できる認証局であるかどうかをまず確認しましょう。

また、用途に合ったサービスを選ぶことも大切です。SSLはWebサイトの信頼性や安全性を高めること以外にも、さまざまな用途で活用されています。また同じ用途であっても、求められる信頼性などによって複数のサービスが提供されている場合があります。そのため、サービス選びに着手する前にサーバ証明書の用途を明確にすることが肝要です。

これらの点に配慮しつつ、自社に最適なサーバ証明書を発行してくれる認証局を探してみましょう。

おすすめ記事

記事・ニュース一覧