開発 サイバーセキュリティ サーバー

Webサイトのセキュリティを高めるSSL

Webサイトのセキュリティを確保する手段としてよく利用されるのがSSLです。SSLは、ユーザーが安心してWebサイトへアクセスしてもらうために必要なだけでなく、サイバーセキュリティ犯罪のリスクを避けるためにも導入しておきたい技術のひとつです。

SSL化設定について

目次

SSLの役割1:通信内容の暗号化

SSLとは、Secure Sockets Layer の略です。SSL の1つめの役割は、インターネット通信を第三者によって盗み見されないようにするために、暗号化して送信すること。SSLを使っていないサイトのURLは「http://〜」ですが、SSLを使っているサイトでは「https://~」となります。追加される「s」は、secure(セキュア=安全)の頭文字です。

すでに「お問い合わせ」のようなユーザーのプライバシーに関わる情報を扱うページや、ショッピングサイト、 IDとパスワードを入力させるログインフォーム等には必ず導入しなければならない状況になっていますが、部分的にではなく、サイト全体に暗号化通信を導入しようという「常時SSL対応」の流れも加速しています。

SSLを使っていないと、じつは誰にでも通信している内容を読むことができてしまいます。スマホが普及し、街角のフリーWiFiを使って気軽にアクセスするユーザーが増えたため、通信中に内容を傍受されるリスクが格段に高くなっています。実際に悪用されるかどうかはともかくとして、誰かに見られているかもしれないというだけでも気分のいいものではありませんね。ユーザーにとって、このサイトは安心して利用できるかどうかを判断する目印となるのが「https://~」、すなわち暗号化済みのサイトということになります。

https://~は暗号化済みのサイト

SSLの役割2:なりすましの防止

SSLには通信の暗号化の他に、もうひとつ重要な役割があります。それは企業側のサーバーとユーザーの間に第三者機関が入って、「通信相手が本物である」と証明してくれるということです。

第三者機関とはSSLサーバー証明書を発行している会社で、認証局とかCA(Certification Authority)と呼ばれます。たとえばGMOグローバルサイン、デジサート、セコムトラストシステムズといったCAがあります。CAから発行されたデジタル証明書(SSLサーバー証明書)を企業のWebサーバーにインストールすることで、通信相手は「これは偽物ではなく本物の○○社のサーバーである」という確認ができ、安心して通信できるのです。

かつて某銀行の公式サイトをそっくり真似た不正サイトがつくられ、個人情報を盗まれるフィッシングサイトが横行したことがありました。偽サイトや不正アクセスによってWebサイトを改ざんされたり、企業ブランドの毀損や信頼低下につながるリスクを防ぐためにも、WebサイトにSSLを導入することは急務となっています。

SSL普及の後押しはGoogle

このように、SSLは、Webサイトのセキュリティを高め、ユーザーが安心してWebサイトを利用できるようにするためのものですが、最近では、Googleの検索エンジンがSSLに対応したサイトをより高く評価するようになっていることも、SSLの導入を後押ししています。また、同じくGoogleのブラウザであるChromeでは、SSLを使っていないhttpサイトであるというだけで「保護されていない通信」という警告を発するような仕様(下図)に変更されており(※2019年1月現在)、SSL化の流れをGoogleが先導している面も見受けられます。

「保護されていない通信」という警告 SSL化していないと「保護されていない通信」という警告がでます。

SSLのこれから

利用の拡大が進むSSLは、今後どのようになっていくのでしょうか。

規格としてのSSLはバージョン3.0までリリースされましたが、その後の開発はTLS(Transport Layer Security)と呼ばれる次世代規格に引き継がれ、いまでは、TLSが主流となっています(SSL規格は安全ではないとして使用が禁止されています)。しかし、SSLのほうが広く認知されているためそのまま呼称されることが多く、SSL/TLSと並記されることもあります。

ネットを取り巻く環境の変化やサイバー攻撃が狡猾になっていく中で、このように、Webサイトのセキュリティを守るSSL/TLSの技術も進化を続けていますので、最新の動向を継続してチェックして、適切に自社のサイトへ取り入れていきましょう。

関連記事

この記事の著者

itra
ITRA株式会社

官公庁や大手企業を中心とした大規模なWebサイトを総合的にプロデュースするWeb制作会社。デザインからシステム、サーバーまでWebサイトに関わるお客様の悩みを解決します。

初めて使う人にも使いやすく、セキュリティレベルの高いCMSパッケージ「iCMS」

詳しくはこちら
itra