SSLは、インターネット上のデータ通信を暗号化して送受信させるシステムです。SSLを導入すると、個人情報の盗聴(盗み見)やなりすまし、データの改ざんを防止してくれるため、SSLの重要度は年々増しています。この記事では、SSLの意味や役割、導入して防げるリスクについて解説します。SSLについて正しく理解し、サイトへの導入や導入するSSLの種類を検討してみましょう。
SSLとは
SSLは「Secure Sockets Layer」の略称で、インターネット上でデータを暗号化して送受信させる仕組みのことです。個人情報やクレジットカード情報、ログインID・パスワードなどのデータを暗号化することで、安全な通信を行う役割を担っています。
SSLとTLSの違い
サイトやコンテンツによっては「SSL/TLS」と表記されていることがありますが、TLSはSSLの次世代規格で、厳密には別物です。しかし、どちらも安全な通信を目的とした仕組みであることは同じで、2つのセキュリティプロトコルを指すためにSSL/TLSと表されることがあります。
SSLの役割
安全性を高めることが目的のSSLには、役割が2つあります。それぞれの役割にどのような意味があるのか、解説します。
・サイト運営者の確認
暗号化通信
インターネット上のデータを暗号化することにより、第三者からの盗聴や情報の改ざんを防ぎます。サイトの規模に関係なく、SSLを利用して安全な通信をすることが一般的になっています。
サイト運営元の確認
SSLを導入すると、ブラウザから信頼された認証局が発行したSSL証明書の取得が可能です。SSL証明書にはサービス提供者の情報を登録する必要があり、ユーザーはSSL証明書を通してサイト運営元が誰なのかを確認できます。
SSL導入で防げる3つのリスク
インターネット上の通信を暗号化することで、3つのリスクを防ぐことができます。以下のリスクの軽減により、ユーザーも安心してサイトを利用できるようになるのです。
・なりすまし
・データの改ざん
盗聴(盗み見)
データ通信を盗聴(盗み見)されることを防ぎます。情報が盗聴されると、サイト利用後に迷惑メールが届いたり架空請求されたりするなど、個人情報が悪用される恐れがあります。通信が暗号化されていることにより、情報の解読が難しくなるため悪用しづらくなるのです。
なりすまし
サイト運営者へのなりすましもSSLで防げます。SSLが導入されていないサイトは運営者のIDやパスワードが盗まれ、運営者のふりをして個人情報を取得される危険があります。SSLが導入されていればIDやパスワードも暗号化されているため、なりすましを防げます。
データの改ざん
データの改ざんにより、注文内容などを改ざんされることを防ぎます。暗号化されていない情報は、第三者によって勝手に書き換えられてしまう可能性があります。データが暗号化されていれば、注文内容などが改ざんされることはありません。
SSLと非SSLの見分け方
アクセスしたサイトがSSLを導入しているかどうかは、URLとブラウザのマークで判別できます。SSLが導入されているサイトのURLは先頭に「https://」がつき、アドレスバーには鍵のマークが表示されます。2つのポイントが揃っていれば、アクセスしたサイトでのデータ通信は暗号化されることが保証されています。
一方でSSLが導入されていないサイトのURLは、先頭が「http://」です。アドレスバーには「!」のような警告のマークがついています。HTTP通信によりデータが送受信されますが、データは暗号化されず平文のため、盗聴や改ざんのリスクがあるでしょう。
SSLの種類と選び方
SSL証明書の発行には認証局による審査が必要で、審査で確認される事項の多さによって3種類に分けられます。それぞれの特徴や金額によって使い分け、サイトに合ったSSLを選びましょう。
| ドメイン認証SSL | 企業実在認証SSL | EV認証SSL | |
|---|---|---|---|
| 認証レベル | ★ | ★★ | ★★★ |
| 費用 | 安い | やや安い | 高い |
| 認証(調査)内容 | ・ドメイン名使用権があること | ・ドメイン名使用権があること ・組織が法的に実在すること |
・ドメイン名使用権あること ・組織が法的に実在すること ・組織が物理的に実在すること |
| 特徴 | ・スピーディーな発行 ・個人事業主でも登録可能 |
・最も利用されている ・法人のみ登録可能 |
・アドレスバーが緑 ・知名度の高いサイトや官公庁のサイトで使われる |
ドメイン認証SSL
ドメイン認証SSLは厳格な審査が不要で、証明書の発行が早いのが特徴です。LPや期間限定のキャンペーンサイト、組織内限定利用のサイトメールなどで早急にSSLを導入したいときにも役立ちます。個人および個人事業主でも登録できる、3種類の中でも安価なSSLです。
企業実在認証SSL
ドメイン認証SSLとは違い、法人のみが登録できるのが企業実在認証SSLです。登記簿謄本や企業実印入りの申請書、実印の印鑑証明書などを利用して、組織が法的に実在するか審査をします。組織名が表示された証明書が発行されるため、安心かつ安全なサイトであることをアピールできます。SNSや会員制サイトなどでの利用がおすすめです。
EV認証SSL
EV認証SSLは、3種類の中でも最も厳格な審査が行われる高額なSSLです。組織が法的に実在することだけでなく、組織の活動実態や登録された住所の正確性などの物理的な確認も行われます。官公庁や知名度の高いサイトで利用される傾向にあります。ECサイトやネット銀行など、特に安全性が求められるサイトでの導入がおすすめです。
SSL導入の流れ
SSLの導入には、ただ申込書を入力して送信するだけではなく、送付するデータや書類の準備が必要です。申し込みからインストールまでの流れを解説します。
Step1. CSR(署名リクエスト)の作成
CSR(署名リクエスト)は、SSLを導入したいWebサイトの情報を表すテキストデータのことです。あらかじめサーバー上でCSRを作っておきましょう。
Step2. 申し込み
オンラインで必要事項を入力し、認証局にSSLを申し込みます。申し込み時に作成しておいたCSRを送信します。
Step3. 送付する書類の準備・提出
SSLの種類によって必要書類が異なります。必要に応じて登記簿謄本、企業実印入りの申請書、印鑑証明書などを用意しておきましょう。
Step4. SSL証明書の発行
認証局の審査に通ると、証明書発行メールが送信されます。所定のURLからSSL証明書をダウンロードしましょう。
Step5. サーバーにインストール
ダウンロードしたSSL証明書をサーバーにインストールします。インストール方法は認証局やサーバーによっても違うため、注意が必要です。
SSL導入で安心安全なデータ通信を
SSLとは、インターネット上でデータ通信を暗号化して送受信させる仕組みのことです。ユーザーの個人情報の漏えいやデータの改ざんを防ぐだけでなく、サイト運営者にとってもなりすましを防止でき、安全な通信が保証されます。SSLを導入したサイトのURLは「https://」から始まり、アドレスバーには鍵マークが表示されるため、一目で安全なサイトであることをユーザーに伝えられます。SSLを導入する際には、3種類のSSLそれぞれの特徴や費用などを考慮して、サイトに合ったSSLを導入しましょう。