一般記事

Webサイトに“安心”をプラス―知らないでは済まされないSSLサーバ証明書の仕組み

この記事を読むのに必要な時間:およそ 3 分

安心安全なWebサイトの運営を実現する上で,欠かせない存在となっているのがSSLサーバ証明書です。その仕組みを分かりやすく解説しつつ,導入におけるポイントを紹介していきます。

フィッシング詐欺の被害から顧客を守るSSLサーバ証明書

メールなどを使って偽のWebサイトにおびき寄せ,そこで入力されたIDやパスワード,クレジットカード番号などといった個人情報を盗み取る「フィッシング詐欺」の被害に遭う人が後を絶ちません。見かけることが多いのはオンラインバンキングにログインするための情報を盗む攻撃ですが,最近ではアップルのサービスを利用するために必須となる,Apple IDを盗む手口が広まって話題となるなど,狙われる個人情報やサービスは多種多様です。

このような被害を避ける上で欠かせないのは,そのWebサイトの運営者の確認です。たとえばアップルのWebサイトであれば,Webブラウザのアドレスバーに緑色の鍵アイコンが現れ,さらに「Apple Inc.」と運営者が明記されています。これを確認することで,現在アクセスしているWebサイトはアップルが運営しているものであると判断できるというわけです。逆に言えば,運営者を確認できないのであれば,大切な個人情報を気軽に入力すべきではありません。

上はGoogle Chrome,下はWindows Edgeでアップルの「iCloud」にアクセスした結果。いずれも緑色の鍵マークと社名が表示されており,運営者が誰であるのかが分かる

Google Chromeでアップルの「iCloud」にアクセスした結果

Windows Edgeでアップルの「iCloud」にアクセスした結果

Webサイトの運営者にとっても,フィッシングサイトの存在はやっかいでしょう。もちろん,フィッシング詐欺によって個人情報が盗まれるのはWebサイト運営者の責任ではありませんが,Webサイトの運営者が誰であるのかが分かるようになっていれば,顧客が被害を受けるリスクを軽減することができます。そのために必要となるのが「SSLサーバ証明書」です。

オレオレ証明書がダメな理由

SSLサーバ証明書はインターネットにおける身分証のようなもので,そのWebサイトの運営者などの情報が記録されています。これをWebサイトの運営に利用しているサーバに組み込んでおくと,ユーザーがWebサイトの運営者を確認することができます。

通信の暗号化もSSLサーバ証明書の大切な役割です。名前や住所,電話番号といった個人情報,あるいはクレジットカード番号が通信経路の途中で第三者に盗み見られないように暗号化し,安全に機密情報を送受信できるようにしています。ただ,通信相手が意図した相手でなく,悪意のある第三者であれば暗号化の意味はありません。その意味でも,SSLサーバ証明書における運営者の確認は重要な意味を持っているのです。

このSSLサーバ証明書において,重要なポイントとなるのが発行元です。一時期,オレオレ証明書という言葉が大きな話題となりました。これは自分自身で発行した証明書のことであり,「私は私であることを証明します」と言っているようなものです。このような証明書を信用できるでしょうか。もちろん,本当になのかもしれませんが,自分で証明書を発行すれば悪意のある第三者がになりすますこともできてしまいます。これでは信用できないでしょう。

また第三者が発行したSSLサーバ証明書であっても,その発行元が信用できなければ,SSLサーバ証明書に書かれている内容も信頼できません。そのため,SSLサーバ証明書では「誰が発行したのか」が重要になるわけです。なお現在のWebブラウザでは,オレオレ証明書や信頼できない機関が発行した証明書が使われていた場合,警告画面を表示してユーザーに注意を促します。このような画面が表示されれば,そのWebサイトにアクセスしたユーザーの印象が悪くなるのは間違いないでしょう。このため,適切な第三者機関にSSLサーバ証明書の発行を依頼するのは必須であると言えます。

信頼できないSSLサーバ証明書を検知すると,Google Chromeでは上記のような画面を表示し,ユーザーに強く警告を行う。ユーザーが実際にコンテンツを参照する場合には,「詳細設定」をクリックして「○○にアクセスする(安全ではありません)」というリンクをクリックしなければならない

信頼できないSSLサーバ証明書を検知すると,Google Chromeでは上記のような画面を表示し,ユーザーに強く警告を行う。ユーザーが実際にコンテンツを参照する場合には,「詳細設定」をクリックして「○○にアクセスする(安全ではありません)」というリンクをクリックしなければならない

新たなトレンドになりつつある“常時SSL化”

このSSLサーバ証明書を利用して通信を暗号化するといった際,従来は機密性の高い情報をやり取りするページ,具体的にはユーザーが名前や住所,電話番号,クレジットカード情報などを入力するフォームがあるページなどに限って利用することが一般的でした。この背景にあるのは,SSLを使うと通信速度が低下するという考えです。

WebサーバとWebブラウザ間でやり取りする内容を暗号化するには,当然それなりのリソースを消費することになります。これによって通信が遅くなるわけですが,しかし現在では通信プロトコルや暗号化アルゴリズムの改良が進んだことから,SSLでも十分なレスポンスを得られるようになっているのです。

こうした状況の変化に加え,すべてのページをSSL化すればセキュリティが高まるというメリットも見逃せません。WebサーバとWebブラウザの間ではさまざまな情報をやり取りしており,その中にはフォームに入力するような個人情報でなくても,第三者の手に渡れば悪用されるリスクがあるCookieのようなデータもあります。しかしすべてSSLで通信を行うようにすれば,Cookieを含めたすべてのデータを保護できるため,セキュリティレベルを引き上げられます。

すべてのWebページでの通信にSSLを利用することを「常時SSL化」と呼びますが,これによってSEO(Search Engine Optimization)に好影響が生じることも無視できないメリットでしょう。先日,Googleは検索時の表示順位を決定するランキングアルゴリズムにおいて,順位判定の要素(ランキングシグナル)の1つとして,SSLが使われているかどうかを加えると発表しました。検索時の表示順がビジネスに大きな影響を与えることを考えると,看過できない変化だと言えるでしょう。

SSLを利用しているかどうかをランキングシグナルに利用することを発表したGoogleのブログ記事

SSLを利用しているかどうかをランキングシグナルに利用することを発表したGoogleのブログ記事

このように常時SSL化はさまざまな利点があります。もし「ユーザーに個人情報の入力を求めるページはないので,自社のWebサイトではSSLサーバ証明書は不要」などと考えているのであれば,そろそろ認識を改めるべきかもしれません。

バックナンバー

セキュリティ

  • Webサイトに“安心”をプラス―知らないでは済まされないSSLサーバ証明書の仕組み

コメント

コメントの記入