企業における個人情報漏洩リスクは年々高まる一方、インターネット上のセキュリティ対策については未だに実装していない企業も多いことでしょう。
そんな中、Googleが2014年8月にSSL/httpsを検索結果のランキングシグナルに使用することを発表し、Yahoo!JAPANも2017年3月までに「Yahoo!JAPAN」の全サービスを常時SSL(AOSSL)に対応させると発表。
そこで今回は、SSLとは何か?SSLに対応しないと今後どうなるかを簡単に解説していきます。
-
SSLとは何か?
- SSLとは「Secure Socket Layer」の略で、インターネット上で送受信されるデータの覗き見と改ざんを防止する通信上の仕組みのことです。
個人情報やクレジットカード情報などの重要なデータを暗号化することで第三者によるデータ傍受を防ぎ、安全に通信を行うことができます。
SSL対応しているページ「https://」
SSLに対応していないページ「http://」
- 常時SSLとは?
- 常時SSLとはWebサイト全体を「https://」化(SSL/TLS暗号化)するセキュリティ手法です。これまでは個人情報を扱うお問い合わせフォームや商品購入フォームなど、重要な情報をやり取りする場面のみで通信を暗号化する方法が用いられてきましたが、これをWebサイト全体に設定する方法が常時SSLです。
なぜSSL対応必須の流れになったのか?
近年、爆発的に外国からの観光客が増え、野外でも手軽にインターネットが利用できるよう国内での公衆無線LANの環境整備が拡大するなか、現状のままでは第三者による通信傍受のリスクが高いため、インターネット通信において常にデータ暗号化通信(SSL)を行うことで、通信セキュリティの強化を図るのが目的。
常時SSL導入のメリット
- Googleの検索順位優遇によりSEO対策で有利になる
- アドレスバーに鍵マークが表示されることによりサイトの信頼性が向上する
- 盗聴やなりすましを防止できる
- ウェブサイトの信頼性が向上する
- 通信速度が向上する
- 攻撃者の事前調査を防御できる
SSLに対応しないとどうなるのか?
ユーザーからの信頼が低下する
個人情報を扱うお問い合わせフォームや商品購入フォームの場合、第三者による通信傍受により情報漏洩のリスクが高まるため、Webサイトのアドレスバーに警告マークが表示され、ユーザーは不安になり情報入力をためらうでしょう。
サイト管理者側のデメリット
アクセス解析などを行う場合、HTTPSサイトから外部のHTTPサイトに遷移する場合は原則、リファラー(参照元)が送出されなくなるため、リファラー(参照元)を使ったサイト流入量の計測ができなくなります。
※HTTPSサイトから外部のHTTPSサイトに遷移する場合は問題なくリファラー(参照元)が計測できます。
SSLの対応方法について
SSL通信を設定するには、SSLサーバー証明書が必要で、証明書の発行には、電子証明書の発行を認められた「認証局」による運営元の認証作業を通過する必要があります。
GMOグローバルサインのサイトより
認証局(CA:Certification Authority)の役割の一つ目は電子証明書を発行することです。たとえば、メールの暗号化などに使われるクライアント証明書の発行の場合、登記事項証明書や印鑑登録証明書を用いて申請元の企業が実在しているかを確認したりします。
認証局には、2種類のタイプが存在する
1つはグローバルサインなどのパブリック認証局です。
パブリック認証局が発行する電子証明書のルート証明書は、一般的なウェブブラウザやメールソフトにあらかじめ組み込まれており、ルート証明書の配布やインストールが不要なため、取引先など外部とのやり取りに電子証明書を利用する場合に煩雑な設定が必要なく便利です。
2つ目は、事業会社などが独自の運用基準を設けて設立したプライベート認証局です。
プライベート認証局はルート証明書の配布や設定などに手間が掛かりますが、運用規程を自由に設定できるため、社内だけなど、限られたネットワークで電子証明書を利用する場合は、プライベート認証局を設立し電子証明書を発行する方が便利です。
-
SSLサーバ証明書とは?
- 通信の暗号化に必要な鍵を持っており、ブラウザとサーバ間で暗号化通信を行うドメインと、ドメインを所有する組織の身元情報を証明する電子証明書のこと。
SSLサーバー証明書の選び方
- EV認証型の証明書…特に実在性を強くアピールしたいWebサイト
- 企業認証型の証明書…組織の実在性の証明が必要とされるWebサイト
- ドメイン認証型の証明書…暗号化通信のみが必要とされるWebサイト
-
EV認証型の証明書
- EVガイドラインに基づいてEV SSL証明書を申請した企業の実在性を厳格に認証するSSLサーバ証明書。企業・組織の実在性を、監査済みの厳格な認証方法を使い確認するため、認証強度が強く、レベルの高い信頼性を実現しています。個人が取得することはできません。
-
企業認証型の証明書
- SSLサーバ証明書を申請した企業の実在性を認証するSSLサーバ証明書。企業・組織の実在性を、第三者データベースに基づき「電話での確認」が行われるため、認証強度が強く、高い信頼性を実現しています。個人が取得することはできません。
-
ドメイン認証型の証明書
- ドメイン名の所有名義を確認するSSLサーバ証明書です。個人でも取得でき、手間がかからず、低価格・短期間での発行が可能。ドメイン名を所有していれば誰でもSSLサーバ証明書の取得が可能なため、EV認証型、企業認証型の証明書に比べると信頼性が低下します。
| EV認証型の証明書 | 企業認証型の証明書 | ドメイン認証型の証明書 | |
| ドメインの所有名義を認証 | ○ | ○ | ○ |
| 企業の実在性を認証 | ○ | ○ | × |
| 個人による取得 | × | × | ○ |
| アドレスバーに組織名表示 | ○ | × | × |
| フィッシング詐欺対策 | ◎ | ○ | × |
| 信頼性 | 高 | 中 | 低 |
国内で有名なSSLサーバー証明書認証局
グローバルサインのSSLサーバー証明書
ジオトラストのSSLサーバー証明書
シマンテックのSSLサーバ証明書
共有SSLと独自SSLの違いとは?
一つの「SSL証明書」に対して、複数の「ドメイン」を対応させるのが共有SSL。
一つの「SSL証明書」に対して、一つの「ドメイン」を対応させるのが独自SSLです。
共有SSLは、レンタルサーバー会社で取得代行したSSLサーバー証明書を複数のユーザで使用します。
これに対し独自SSLは独自ドメインに対し、ひとつのSSLサーバー証明書を使用します。
共有SSL証明書は無料で利用できる場合が多いようですが、SSL証明書自体がレンタルサーバー提供会社のものなので「共有SSL」に対応したサイト運営会社の情報確認や証明は行われません。つまり、データの暗号化のみ有効ということになります。
まとめ
大手検索サイト2社が揃って常時SSL化を推奨しているとおり、検索という行為においてユーザーを情報セキュリティの脅威から守るということは非常に重要なことです。
SSLサーバー証明書の発行は有料ですが、ドメイン認証型のSSLサーバー証明書であれば個人でも取得でき、手間がかからず、低価格・短期間での発行が可能です。
ぜひこの機会に、あなたの運営しているWebサイトのセキュリティ対策について考えてみてください。
