サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

SSLとは?証明書の仕組みを解説



SSLとは、Secure Sockets Layerの略で、インターネット上に置いてWebサイト等を閲覧する際に、WebブラウザとWebサーバ間でのデータの通信を暗号化し、送受信させる仕組みのことです。

当記事では、インターネット上で頻繁に送受信される氏名・住所・メールアドレスなどの個人情報や、ショッピングの決済に必要なクレジットカード情報、ログインに必要なID・パスワードといった重要な情報を、悪意ある第三者による盗聴や改ざんを防ぐためのSSLという技術について説明していきたいと思います。

SSLとは?

SSL(Secure Sockets Layer)とは、Webサイト(サーバー側)とサイトを閲覧しているユーザー間でのデータ通信を暗号化して、送受信する仕組みのことです。SSLは、インターネット上で頻繁に通信される重要な個人情報を悪意ある第三者の盗聴などから防いだり、送信される重要な情報の改ざんを防ぐ役割を担っています。

TLSとは

現在は、より安全なTLS(Transport Layer Security)という規格の暗号化通信が使われています。「SSL/TLS」と表記されていることも多く見られます。これは、世間にはSSLという名称が暗号化通信規格の一般名称として定着しているためです。そのため、本記事でもSSLという名称を使って解説していきます。

httpsと鍵マーク

「HTTPS」とは、「HyperText Transfer Protocol Secure」の略称で、ネット上のHTTP (HyperText Transfer Protocol)通信が、SSLによって暗号化されたプロトコルのことを指します。SSLによって暗号化された通信データは保護されるため、第三者が盗み見しようとしても解読することができません。

WebサイトにSSLが導入されている場合は、データは暗号化されることが保証されているため、URLの先頭が「https://〜」となり、ブラウザには『鍵マーク』が表示されます。

SSL/httpsサイトと非SSL/httpサイトの見分け方

SSLが導入されていないWebサイトでは、旧来のHTTP通信でデータの送受信が行われます。HTTP通信では、Webサイトから送信されたデータは暗号化されず平文のままのため、第三者の盗聴や改ざんを防ぐことができません。

HTTP通信の場合、アドレスは「http://〜」となり、最近のブラウザではWebサイトのURLの先頭に警告マークが表示されます。

暗号化されていないサイトは危険

先述のとおり、インターネット上にあるデータは悪意ある第三者が通信の中身を盗み見て悪用することが可能です。閲覧したサイトのURLや、掲示板などに投稿した内容、オンラインショッピングで入力したクレジットカードの番号やパスワードなども、盗み見ることが可能なのです。そこで、個人情報を安心して保護するように生まれたのが「SSL」という仕組みです。

非暗号化(http)通信の場合、カフェなどで利用できる無料Wi-Fiも、ちょっとした知識があれば簡単に通信の内容を盗み見ることが可能です。こういった悪用を防ぐために、SSLはブラウザとサーバー間の「通信の暗号化」を行います。万一、通信途中でデータを盗み見られても、暗号化されているデータの解読は困難となります。

日に日に便利になっていくオンラインサービスですが、比例して個人情報をインターネット上で取り扱うことも増えているため、今ではWebサイトのSSL化は必須と言えるでしょう。

保護されていない通信という警告が表示されたら

WebブラウザのURL部分に「保護されていない通信」という表示がされた場合、閲覧しているWebサイトはSSL通信がされていない=暗号化されていない、という警告がされています。この場合、Webサイトの管理者がSSL化をしない限り、警告が消えることはありません。

SSLサーバー証明書を利用するには・秘密鍵とは?

SSLサーバ証明書(以下、SSL証明書)は、Webサイトの「運営者の実在性を確認」して、ブラウザとサーバー間で「通信データの暗号化」を行うための電子証明書のことです。SSLサーバ証明書には、Webサイトの所有者情報のほか、暗号化通信に必要な鍵、発行者の署名データが含まれています。SSL証明書を利用するには、以下の工程が必要となります。

  1. 秘密鍵を生成する
  2. 秘密鍵を用いてCSRを生成する
  3. CSRを用いて証明書を生成する
  4. 秘密鍵と証明書をセットにしてWebサイトの通信を暗号化する

秘密鍵とは

SSL証明書はCSR(Certificate Signing Request:証明書署名要求)を介して生成され、秘密鍵とペアになるように構成されています。SSL証明書は公開鍵なので再発行できる一方で、秘密鍵は唯一無二のものです。一部の古い暗号スイートを利用していた場合、秘密鍵が流出してしまうとそのドメインのサーバーとの通信を誰でも復号できるようになってしまうため、絶対に紛失しないように注意しましょう。

現在では、PFS(Perfect Forward Secrecy:前方秘匿性)対応の暗号スイートを利用できるブラウザが一般的です。PFSに対応した暗号スイートを利用していた場合、万一サーバーの秘密鍵が盗まれてしまったとしても、個々のセッションでは別の鍵ペアが都度生成される仕組みのため、全ての通信が解読されることはありません。

SSL通信が成立するまでの流れ

SSL通信が成立するまでに、ブラウザとサーバーの間で起きている流れは以下のとおりです。

  1. ブラウザ側:SSL通信をリクエスト
  2. サーバー側:SSL証明書を送付
  3. ブラウザ側:電子署名の検証から「SSL証明書に記載されたドメイン」と「通信先のドメイン」が同じであることを確認
  4. ブラウザ・サーバー:SSL通信を行うために共通鍵を交換
  5. ブラウザ・サーバー:共通鍵を使って送受信するデータを暗号化・復号しSSL通信成立

簡単ではありますが、このような流れでブラウザとサーバー間の通信が暗号化されています。この流れを「TLSハンドシェイク」と呼び、通信を行うサーバー単位でこの手続きを行う必要があります。そのため、外部ファイルの読み込みが多いWebページなどではTLSハンドシェイクを何度も行う必要があり、ページ表示のパフォーマンスに影響する可能性も考慮しなければなりません。

改ざん防止機能・なりすまし防止機能

もうひとつ、SSL証明書の重要な役割として、データの改ざんとなりすましの防止という機能があります。まずは、データの改ざんについて見ていきましょう。

改ざん防止機能

WebサイトをSSL化すると、ブラウザとサーバーとの通信が暗号化(https化)されるほか、誰かが通信途中でデータを書き換えると、「データが改ざんされている」ことが分かるようになります。データが改ざんされた可能性を検知した場合は、信用できないデータを破棄して送り主に再度データを送るように依頼する動きが、SSL証明書の改ざん防止機能です。

なりすまし防止機能

SSL通信の際に必要な秘密鍵は、当然コピーすることはできません。秘密鍵がない状態でSSL通信を試みてもSSL通信は実現できず、ドメインの正当性も保証されません。そのため、ブラウザ側では「このページは○○.jpと名乗っているけど実際には違うサイト」というように、なりすましであることを教えてくれます。現在、多くのブラウザではページが表示されない仕様になっているため、なりすましの被害を防止することができます。

認証局

改ざん防止となりすましの防止については、SSL証明書を発行する「認証局」という組織の存在が重要です。認証局は、信頼された第三者機関であり「○○.jpのドメインを保有している人にSSL証明書を発行した」と保証してくれる組織です。

また、認証局は失効の依頼を受けた電子証明書や秘密鍵の危殆化の可能性のある証明書を失効させる役割も担っています。電子証明書の所有者が自分の秘密鍵を紛失したり盗まれてしまった場合、悪意のある者によって、本来の所有者になりすますことができてしまいます。 そのため、所有者は秘密鍵を盗まれてしまった場合などは、直ちに認証局に届け出て、証明書の失効処理を行わなければなりません。

電子署名

ドメインの認証は、「電子署名」という技術を使用しています。秘密鍵によって署名されたデータは、公開鍵によって秘密鍵で署名されているかどうか検証します。ドメインの認証は、この検証に使われる電子署名アルゴリズムを利用して「サーバー証明書を送ってきたサーバーのドメイン」が「送られてきたサーバー証明書に記載されているドメイン」と同じであることを確認します。これらの流れによって、ブラウザのアドレスバーに表示されているドメインに正確にアクセスしていることが確認でき、なりすましの防止が可能となります。

SSL化されているサイトでも注意が必要

SSL通信は通信の暗号化を行っていますが、全ての通信を秘匿できるわけではありません。ネットワーク管理者であれば、通信先のIPアドレスやデータ量を見ることができます。SSL化されているとはいえ、すべてが暗号化されていて誰にも通信の内容が見られないわけではないことを念頭に置いておきましょう。

まとめ

SSLは複雑で難しい技術ですが、Webサイトを運営する上では必須の導入技術です。SSLを知り「出来ること」と「出来ないこと」を把握し、必要なセキュリティ対策を行い安全な運営を行っていきましょう。

よくある質問

SSL/httpsを導入するには?

WebサイトでSSL(https)を導入する場合は、通信の暗号化に必要な鍵とWebサイトの運営者の情報が含まれた「SSLサーバ証明書」をサーバーにインストールする必要があります。

SSLサーバ証明書は、信頼のおける第三者機関(認証局)でWebサイトの運営者が正しい運営者であるかどうかの審査を行い、通過すれば発行されます。

SSLの設定方法はどうしたら良いですか?

レンタルサーバーでは管理画面から自分でインストールする場合もありますが、一般的には管理画面上で購入して簡単な設定を行うだけで有効化されます。まずは使用しているサーバーで確認をしてみましょう。

おすすめのセキュリティソフトはありますか?

SSLサーバ証明書のサービスは多くあるため、複数検討して合うところに決めるとよいでしょう。下記では、おすすめのサービスサイトをまとめていますのでこちらを参考にしてみてください。



  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。