SSLとは?その仕組みと導入メリット

ホームページ制作

インターネットの発達で手軽に他者とのコミュニケーションが可能になった反面、コミュニケーション機能の発達とともに、他者の通信への攻撃も増えてきています。例えば、悪意ある第三者が他者の通信を盗み見てそれを悪用するケースです。個人情報やクレジットカードの番号を不正に取得され悪用されてしまった場合、ホームページの運営者にとっても評判を著しく低下させることになり深刻な被害をもたらします。通信への悪意ある攻撃は年々増加傾向にあり、すべての企業においてサイバー攻撃への対策は必須となったといえるでしょう。特に近年では、セキュリティが充実した大手サイトではなく、中小企業が狙われるケースも増えており、小規模なホームページだからといって安心はできなくなりました。このような通信への攻撃に対するセキュリティ対策の一つがSSLです。

SSLとは?

SSLとは、インターネットでのメッセージの受発信を暗号化する仕組みのことです。インターネットで重要な情報を受発信することが多くなり、性別、年齢、住所といった基本的な個人情報から、特にはクレジットカードの番号やどのような宗教に所属しているかという個人の志向など機微な情報もやりとりするケースも珍しくなくなっています。SSLは、受発信時のメッセージを暗号化することで、仮に情報を盗み見られても解読を困難にさせることができる仕組みです。この仕組みによりインターネット通信に潜む数々の脅威から自社サイトを守ることができるようになります。

インターネット通信に潜む脅威

近年ではサイバー攻撃が増えており、受発信情報は悪意ある第三者から常に狙われているという意識を持つべきです。通信攻撃の被害には様々なものがありますが、件数が多いのは、「盗み見」、「データの改ざん」、「なりすまし」です。

「盗み見」とは、文字通り他者の通信を勝手に盗んでしまうことです。あるECサイトに個人情報を入力して申し込みをしたら、後日全く知らないサイトから高額の請求書が届いたという被害事例があります。これは申し込みをした際に個人情報を盗み見られ悪用されてしまったケースといえるでしょう。「データの改ざん」とは、通信内容を勝手に改ざんされてしまうケースです。例えば、10万円の請求書をメールで送付したはずなのに100万円になって届いていたケースや、外国産と明記したのに日本産に書き換えられて意図せずに産地偽装を演出させられてしまうケースがあります。愉快犯や競合が相手の信頼を失墜させるためにデータを改ざんすることがあるようです。「なりすまし」は、悪意ある第三者がうり二つの偽サイトを作成して情報を盗んでしまうケースです。ECサイトで偽の銀行へ誘導して暗証番号を盗むフィッシング詐欺が横行しました。

このようにインターネットの通信には多くの脅威が潜んでいます。被害に遭うと金銭的な被害だけでなく、顧客からの信頼の失墜にもなりかねません。お客様からいただいた情報は大事な資産です。SSLの仕組みを導入し、脅威から資産を守るようにしましょう。

SSLの導入メリット

SSLを導入する最大のメリットは、ホームページのセキュリティ対策になることです。「盗み見」、「データ改ざん」、「なりすまし」といった脅威に、現代はどのホームページもさらされています。被害に遭って顧客の信頼を失うと、それを取り戻すには長い年月を要します。被害に遭ってから悔やむ前に事前にセキュリティ対策をしっかりとっておきましょう。SSLの仕組みは比較的簡単に導入でき、インターネットの脅威からホームページを守ることができます。

SSLの仕組みを導入するもう一つのメリットは、SEO対策になることです。SEOとは検索エンジン最適化のことで、特定のサイトを検索上位に表示させるための手法です。SSLを導入するだけで、SEOにも効果があるといわれています。SSL化されているホームページは、安全性が高いとしてGoogleから高く評価されるようになります。検索順位は当該ホームページの評価によって決まるので、SSL化されているホームページは安全性が高いとして評価が上がり上位表示されやすくなるという仕組みです。また、Googleでは2018年にGooglechrome(ブラウザの一つ)を利用するユーザーに対して、SSL化されていないホームページにはその危険性を警告するようになりました。その警告を見たユーザーが離脱してしまう現象が起きており、この点でもSSL化は必須になったといえるでしょう。

SSLの仕組み

SSLを設定することがなぜセキュリティ対策になるのか、その仕組みをみていきましょう。

SSLの通信が設定するまでの流れは下記のようになっています。

  • 送信者(ブラウザ)からSSL通信をリクエストする
  • 受信者(サーバー)側で受け取った通信をもとに、SSLサーバー証明書と公開鍵を発行
  • 送信者(サーバー)は公開鍵を使って、共通鍵を暗号化
  • 受信者(サーバー)は共通鍵を秘密鍵で復号(暗号をもとに戻す)

知らない人同士でも暗号化通信が成立するように、上記のような複雑な処理がなされています。端的にいえば、SSLは、通信した当人であることを証明するSSLサーバー証明書と通信する者同士でしか利用できない鍵を用意することで通信する仕組みといえます。この暗号化通信により、仮に第三者に通信内容を盗み見られても解読が困難となります。また、通信途中でデータを書き換えられた場合、データが改ざんされたことが判明するのでそのデータを削除して新しくデータを送付することができるようになります。

なりすましを防止するSSLサーバー証明書

盗み見やデータ改ざんの防止は暗号化により防止していますが、なりすましには証明書を利用することでセキュリティを高めています。

証明書とは、上記の仕組みにある通信に必要な鍵が正しいものであることを証明するものです。通信する当人であることを証明するSSLサーバー証明書が発行されなければSSLを成立させることができません。この仕組みによりなりすましを防止することができます。

SSLサーバー証明書を発行するには、認証機関に申請をする必要があります。ご自身で申請することに不安があるようでしたら、ホームページ制作会社等のプロに申請を代行してもらうことも可能です。

また、SSLサーバー証明書には、その安全性の高さから順番に「EVタイプ」、「企業認証型」、「ドメイン認証型」に分けられます。ショッピングサイトのような信頼性を重視すべきホームページにはEVタイプ、そのほかの重要な情報を扱う頻度が少ないホームページでも企業認証型がおすすめです。

SSLを導入して安全なインターネット通信

通信内容を盗聴されてしまう盗み見やデータを勝手に書き換えられてしまうデータ改ざん、第三者が他人のフリをして不正行為を働くなりすましなど、インターネットには様々な脅威が存在します。このような脅威に対してSSLは、比較的簡単に導入できて防止効果の高い仕組みです。ショッピングサイトや金融系のサイトなど秘匿性の高いホームページはもちろん、昨今ではBtoB企業でもリード(見込み客の個人情報)を扱うことが多くなっており、ホームページに必須の仕組みとなったといえるでしょう。