【初心者必見!】あなたのサイトは「鍵」がかかっていますか?SSLとは、通信の暗号化と「デジタルな身分証明書」の仕組み
なぜ、インターネットのデータに「鍵」が必要なのか?
インターネットを利用する上で、情報漏えいやデータの改ざんなどを防ぐための対策は不可欠です 。特にECサイトの運営では、顧客の氏名、住所、クレジットカード番号などの個人情報を取り扱うため 、トラブルや大きな被害を防ぐためにも、データを暗号化するSSLへの対応は必須と言えます 。
通信が悪意ある第三者に覗き見(傍受)されたり、途中で内容を改ざんされたりするリスクを回避するため 、SSLは重要な役割を果たします 。
SSLとは?「秘密の通信トンネル」を作る技術
SSLの定義と、TLSへの進化
SSL(Secure Sockets Layer)とは、インターネット上での通信データを暗号化する技術のことです。インターネットの通信は第三者が比較的簡単に読み取れるため、SSLを導入することで、悪意ある第三者によるデータの傍受(盗聴)や改ざん、なりすましを防ぐ効果があります。
現在利用されている技術は、SSLと同様に通信を暗号化する仕組みであるTLS(Transport Layer Security)であり、これはSSLの次世代規格にあたります。TLSはSSLの脆弱性を改善したものですが互換性はありません。厳密には別物ですが、SSLの名称が広く普及しているため、現在ではTLSも「SSL」または「SSL/TLS」と呼ばれるケースが多く見られます。
鍵を組み合わせた、安全かつ高速な暗号化の仕組み
SSLは鍵を用いて暗号化と複合化(暗号化の解除)を行います。SSLでは、安全かつ高速な通信を実現するために、「共通鍵暗号方式」と「公開鍵暗号方式」という2つの方式を組み合わせて使用します。
- 共通鍵暗号方式: 送信者と受信者が同じ鍵を使って暗号化と複合化を行う方法です。事前に鍵を共有しておけば安全にデータを通信でき、処理速度が速いというメリットもあります。
- 公開鍵暗号方式: 「公開鍵」と「秘密鍵」を使用し、暗号化と復号化の際に異なる鍵を使用する方法です。公開鍵は誰でも利用できる点がメリットです。
SSLでは、上記2つの方式を組み合わせて暗号化されたデータをやり取りするため、安全かつ高速な通信を実現しています。
SSLを使用しないことの重大なリスクとメリット
SSL非対応のサイトを利用することは、情報を「鍵のかかっていないポストカード」の状態でインターネット上に流しているのと同じです。
起こり得る最悪のシナリオ:信頼の崩壊
SSLが導入されていないサイトでは、個人情報が第三者に通信を読み取られて漏洩し、悪用される恐れがあります。
なりすましサイト(フィッシングサイト)を作成される。顧客からのクレームを受け、損害賠償が発生する可能性がある。情報流出の悪評がインターネット上に拡散される。企業の信頼性を失い、顧客離れや売上減少を招き、企業運営・存続が困難になるリスクも考えられます。
個人情報が改ざんされ、購入商品が手元に届かないといったケースが考えられる。スパムメールや架空請求、しつこい営業電話、ダイレクトメールが増える。なりすましサイトの運営者として、勝手に氏名や住所が登録されるなど、犯罪の加害者になる危険性もある。
SSLにより個人情報を守ることは危機回避、さらには企業のイメージアップにもつながるといえます。
SSL対応による、セキュリティ以外の大きなメリット
SSLに対応することで、セキュリティリスクの軽減以外にも、様々な効果が期待できます。
- 安心感と顧客離脱の防止: SSLの導入は、運営元の信頼性をアピールするとともにユーザーに安心感を与えられます。SSL非対応サイトでは「このサイトは安全ではありません」という警告がブラウザ上に表示されるため、顧客に不安を与え、離脱される可能性が高まります。
- SEO評価の向上: 検索エンジン最大手のGoogleは、SSL化しているサイトを優遇すると発表しています。SEO(検索エンジン最適化)対策として、SSL化は欠かせない施策の一つです。
- 表示速度の高速化: SSL化されたサイトでは「HTTP/2」という新しいプロトコルが適用され、従来のHTTPよりも高速なデータ通信が可能となり、速度的なメリットがあります。かつては表示が遅くなるとも言われていましたが、現在はむしろ速度的にメリットがあります。
ユーザーは「https」と「鍵マーク」で確認できる
WebサイトがSSLに対応しているかどうかは、誰でも簡単に見分けられます。
- URLの表記: SSL化されたサイトのURLは、従来の
http://ではなく、セキュリティを高めたプロトコルを示す https:// になります。末尾のsは「Secure(安全)」の略です。 - 鍵マークの表示: ブラウザで表示した際にアドレスバーに鍵マークが表示されます。Google Chromeなどのブラウザでは、アドレスバーの左端のアイコンをクリックすると、「この接続は保護されています」といったメッセージを確認できます。
信頼の証:認証局とSSLサーバー証明書
SSLは通信を暗号化しますが、そのサイトが「本当にその会社が運営している本物のサイトか」という身元までは保証しません。その身元保証を担うのが、認証局(CA)SSLサーバー証明書です。
SSLサーバー証明書は「デジタルIDカード」
SSLサーバー証明書とは、そのWebサイトが特定のドメインを使用する権利を持っていることと、サイト運営者の実在性を証明するための電子証明書です。
この証明書には、サイトの所有者情報、暗号化通信に必要な鍵、そして発行者(認証局)の署名データなどが含まれており、認証局の審査を通過することで発行されます。SSLは暗号化技術ですが、そのサイトの身元を保証するためには、改ざんできないSSLによって認証された証明書が必要になります。
認証局(CA)の重要な役割
改ざん、なりすましの防止においては、SSLの認証局という組織の存在が重要になります。認証局は、サーバーやPCではない公正な第三者機関であり、「このサイトは本当にそのドメインを名乗る組織が運営していますよ」と保証してくれる組織です。
認証局の主な役割は以下の通りです。
- 証明書発行審査: 申請者が本当にそのドメインを管理しているかどうかを確認します。証明書の種類によっては、申請者の組織(企業、団体)が実在するかどうかの確認も行います。
- 証明書の発行: 審査を通過した場合に証明書を発行します。
- 証明書の管理: サイト閲覧者が証明書の有効性を確認するためのサーバーを運営したり、問題があった場合に証明書を失効させる措置を取ったりします。
閲覧者は、サイト運営者から渡された証明書が認証局によって保証された有効なものかを確認することで、なりすましや改ざんを防ぐことができます。
証明書は認証の「厳しさ」によって3段階に分類される
SSLサーバー証明書は、審査の厳格さ(認証レベル)によって、主に3つのレベルに分類されます。レベルが高くなるほど、審査が厳格になり、信頼性と価格も上がる傾向にあります。
| 認証レベル | 特徴 | 主な用途 |
|---|---|---|
| ドメイン認証(DV) | ドメイン名の利用権のみを確認する。発行スピードが速く、低価格で取得しやすい。無料SSLでも利用可能。 | 一般的なWebサイトやブログ、個人事業主。 |
| 企業認証(OV) | ドメイン利用権に加え、組織の法的実在性を確認(帝国データバンクの情報などを利用して照会)。信頼性のアピールに有効。 | 会員制サイトやECサイト、企業サイト(法人対象)。 |
| 拡張認証(EV) | もっとも厳格な審査(世界標準ガイドラインに沿った調査)。組織の実在性、運営、承認者の確認も行う。ブラウザの証明書欄に組織名が表示される場合がある。 | ECサイト、ネット銀行、官公庁など、知名度の高い企業。 |
SSLは、サーバーとブラウザ間の通信を暗号化する仕組みであるため、ユーザーのアクセス先のホームページ自体の安全性は保証してくれません。ドメイン認証(DV)は、ドメインに関するメールアドレスさえあれば取得できるため、SSLを導入したフィッシングサイトも珍しくありません。あくまでSSLは通信経路の盗聴や改ざんを防ぐものであって、アクセス先のウェブサイト自体が危険なサイトではないことを保証するわけではないことを理解しておく必要があります。
まとめ:もはやSSLは「常時SSL化」が必須
SSLは、現代のインターネットにおいて、ウェブサイト運営に必須のセキュリティ対策です。データを暗号化して安心・安全に通信を行う技術であり、セキュリティの向上だけでなく、SEO対策、ユーザーからの信頼獲得など、安全性向上以外のメリットも数多くあります。
かつてはログインページなど特定のページのみSSL化するのが一般的でしたが、現在ではサイトの規模や用途を問わず、サイトのすべてのページをSSL化する「常時SSL化」が必須となっています。
SSL証明書の発行や維持には費用がかかる場合があります(例:グローバルサインのドメイン認証で1年37,200円)。しかし、レンタルサーバーによっては、無料で簡単に独自SSLを利用できる「Let’s Encrypt」に対応している場合もあります。コスト削減を優先してセキュリティ対策が脆弱な場合、トラブルが発生した際に信頼性を失う方が大きな損失となりかねないため、必ず導入を検討しましょう。
