gihyo.jpサイトのロゴ

Hosting Expert

第7回SSL証明書を活用した堅牢サイト運用のコツ part.1

2010-01-08

インターネットでビジネスを展開する際、最も注意を払わなければならないのは通信の安全性です。オンラインショッピングサイトのように、商品を売買する場合、氏名や住所、クレジットカード番号など重要な個人情報を送受信します。この際、通信の安全性が保てなければ情報が流出する危険性があります。

そこで安全に通信する仕組みとして考えられたのが、SSLというプロトコルとそれを第三者が証明するSSL証明書です。

インターネットに潜む危険

インターネットが普及したことで、多くの小売業者がWebサイトに「仮想店舗」を用意し、新しい販路としてビジネスを展開するようになりました。しかし、インターネット上での取引は、実際の店舗で行われる対面販売とは異なり、実際の商品を確かめてから購入できない、売る側も買う側も相手の顔や素性を知り得ないなど、従来の通信販売と同様の課題があります。

それに加えインターネット特有の課題もあります。その代表と言えるのが通信の安全性です。

インターネットは特定の組織が管理しているわけではなく、世界中のネットワークが接続されることによって実現されたものです。したがって、安全な通信の確保はインターネットを利用するすべての人が自己責任というのが基本です。もちろん、法的に問題があるものに関しては、その国の法律で取り締まることは可能ですが、善悪を最終的に判断するのは、利用者それぞれの意思に委ねられます。残念ながらインターネットの普及率が高まるにつれ、インターネット犯罪の件数も増加傾向にあるというのが実状です。

では、具体的にはどのような犯罪に巻き込まれるおそれがあるのでしょうか。最も被害が多いのは、⁠なりすまし」による個人情報の盗難です。これは、悪意のある者が正しい取引相手に見せかけて個人情報を盗み出し、その個人情報を使って被害者になりすまし、金銭を不当に得ようとする行為です。⁠フィッシング」と呼ばれるのが、この手口になります。また、Web サイトとブラウザの間の通信は、基本的にデータがそのままの状態で流れています。そのため、通信中のデータを悪意のある者が不正に取得したり(盗聴⁠⁠、不正に書き換えたり(改ざん)することもできないわけではありません。

通信の安全を確保するSSLの仕組み

しかし一方で、インターネットに潜む危険は、利用者の常識として広まりつつあります。とりわけ、インターネット上で金銭上のトラブルに巻き込まれないように、Webサイトで商品を購入する利用者の多くがネットワークの安全性を気にするようになりました。

そうした通信の安全を確保するために開発されたのが、⁠SSL(Secure Sockets Layer⁠⁠」というプロトコルです。このプロトコルには、WebサイトとWebブラウザの間の通信を暗号化する機能、データの改ざんがないか安全性をチェックする機能が備わっています。また、Webサイトを運営する企業の存在を第三者の「認証機関」が証明する「SSL証明書」を発行し、通信が安全であることを認証する仕組みが用意されています。

SSL の最大の特徴は、アプリケーション層の他のプロトコル(HTTP、FTP など)に依存しないという点です。ただし、主にHTTPのセキュリティを高めるために利用されており、SSLの設計もHTTP での利用を意識しています。

SSLを利用するには

では、実際にレンタルサーバでSSL を利用するには、どのようにすれば良いのでしょうか。多くのホスティングサービス事業者は、レンタルサーバでSSLによる安全な通信をサポートしています。実際の使い方は、レンタルサーバによって異なりますが、特別なフォルダに格納することで、SSLを意識せずに利用できる仕組みを使っているところが多いようです。契約中のレンタルサーバがSSLに対応しているかどうかは、レンタルサーバを運営するホスティングサービス事業者に問い合わせてみましょう。

また、SSLを利用するためには、SSL 証明書を取得するという重要な作業も必要です。SSL証明書には、Webサーバのドメインの所有者であることを証明する情報、WebサーバとWebブラウザの間で暗号化通信するのに必要な鍵、さらにSSL証明書を発行した第三者の署名が含まれています。つまり、SSL証明書が発行されていなければ、SSLによる安全な通信を行うことはできません。

このSSL証明書は、前述したように認証局(CA)によって発行されます。悪意のある者が認証局になりすまして不正な証明書を発行しないように、認証局の義務や責任は「認証局運用規程(CPS=Certificate Practice Statement⁠⁠」というドキュメントとして公開されています。さらに、認証局そのものの証明書がどこから発行されているのかを確認できる大本となる「ルート証明書」を使って信頼性を確かさを調べることもできます。

万一、信頼性のない証明書が送られてきたら、Webブラウザはその旨を通知するアラートメッセージを表示します。たとえば、Windowsに標準搭載されているInternet Explorer では、⁠セキュリティの警告」というダイアログボックスが表示され、対象のWebページを表示するかどうかが尋ねられます。

こうした役目を果たすSSL証明書は、認証局が提供するサービスを利用することで簡単に取得することができます。また、多くのホスティングサービス事業者は、レンタルサーバの契約者向けに、SSL証明書を取得するサービスも提供しています。

おすすめ記事

記事・ニュース一覧