「SSL」の導入について検討している。でも会社によって価格が違うため、どのような基準で選べば良いのかわからないという方も多いのではないでしょうか。
Webサイトのセキュリティに対して敏感になってきた昨今だからこそ必要な知識。SSLを導入するための基礎知識や選定の基準についてわかりやすく解説します。
目次
SSL(サーバ証明書)とは
「SSL」という名称は知っていても、一体どんな仕組みで「どんな効果があるのか」までは知らないという方のために、まずは、SSL(サーバ証明書)について説明します。
SSL(Secure Sockets Layer)とは、WebサーバとWebブラウザとの間でやりとりされるデータ通信を暗号化することで、悪意ある第三者からの盗聴(情報の盗み見)や改ざんを防ぐ通信手段のことです。
機密性の高い個人情報や決済情報などを取り扱う際にはSSLによる通信が推奨されます。
もし、SSL化せずに機密情報をやりとりした場合、通信の途中でデータを傍受、および、解読される危険性があります。
では、アクセスしたWebサイトがSSLによって保護されているかどうかの見分け方ですが、簡単に見分ける方法があります。
SSLが導入されている場合、ブラウザのアドレスバーに「鍵マーク」が表示されます。また、URLの「http://」にセキュア(Secure)を表す「s」が付き、「https://」の形式になります。この2点を確認することで、SSLが導入されているか否かを判断できます。
ちなみに、「SSL」とあわせて「TLS(Transport Layer Security)」についても調べる方がいるかと思いますが、表記が異なるだけで、同じ仕組みを指します。SSLがバージョンアップを重ねて「SSL3.0」となり、その次のバージョンから「TLS1.0」という名称で呼ばれるようになりました。SSLという名称が広く一般に認知されているため、TLSを指していても、SSLまたはSSL/TLSと表記することが多くなっています。
SSL/TLSの機能に関する詳細な説明は、「3.SSL/TLSの役割」で後述しますが、主に「情報の暗号化」と、「Webサイトの運営元を確認」の2つの機能を持った電子証明書です。
SSL/TLSが必要な理由
インターネット上で個人情報をやり取りする機会が増えている昨今、比例してWebサイトにおける「なりすまし」「盗聴」「改ざん」などのリスクも高まっており、そのような状況下で、ユーザも個人情報に対する意識も高まっています。
個人情報を暗号化しユーザの安全、安心を担保することは、機会損失を回避することにも繋がると言えるでしょう。
また、2014年初頭には、大手検索サイトGoogle社が『SSL化されたサイトをSEOで優遇する』と発表しました。これは「ユーザがより安全に良質なコンテンツに到達できるように」という方針のもと、検索アルゴリズムを改良したためです。つまり、「マイページ」「フォーム」「カートシステム」などの個人情報をやり取りするページだけではなく、ユーザがコンテンツを取得するすべてのページにおいて「安全」「安心」を提供できる環境が求められているということです。
リスクの高まりと、それにともなって変化するユーザの意識や環境に合わせて、サイト全体にSSLを導入するケースが増えています。
また、数年前までは「HTTPSのサイトは遅い」と言われておりましたが、次世代プロトコル「HTTP/2(エイチティーティーピーツー)」の開発によりレスポンスに差は無くなりました。「HTTP/2」に関しては、また別の機会でお話いたしますが、今後は「http」よりも「https」のサイトの方がレスポンスは高速になるでしょう。
懸念されていた速度の問題も解消され、より一層SSLを導入するケースの増加が見込まれます。
SSL/TLSの役割
SSL/TLSの重要性はこれまで説明したとおりです。では、SSL/TLSがどんな役割を担っているのか。大きくは下の2つです。
通信データの暗号化
SSL/TLSの暗号化通信は、「共通鍵暗号方式」と「公開鍵暗号方式」の両方の技術を利用してセキュリティを高めています。この技術は、どの企業が提供しているSSL/TLSでも変わらないため、通信のセキュリティを高めることだけを考えるのであれば、安価なSSL/TLSでも問題はありません。
組織(Webサイト)の実在証明
SSL/TLS通信を利用する際「サーバ証明書」が発行されます。
この「サーバ証明書」は、Webサイトを運営する組織が実在するのか、本物の組織が申請しているか否かを明確にするため、ユーザが個人情報を送信する際には「サーバ証明書」を通じて情報の送信先を確認してから安心して送ることができます。
なお、SSLサーバ証明書は、Webサイト運営者(組織)の身元保証のレベルによって3種類に分けられ、導入コストもそれぞれ異なります。
価格の差を生む「SSL/TLSの認証レベル」について
認証レベルは3種類存在し、
◆ドメイン認証:DV(Domain Validation)
◆企業認証:OV(Organization Validation)
◆EV認証(Extended Validation)
の順に認証レベルが高くなります。認証レベルが上がるほど審査が厳しくなり、価格も上がります。
各認証レベルの特長と機能比較一覧は下表をご確認ください。
ドメイン認証型SSLサーバ証明書(認証レベル1)
費用をかけず、かつ、発行までの期間が短い証明書です。
このドメイン認証(DV:Domain Validation)は3段階ある認証レベルの中で、価格面、審査面でもっとも手軽な認証方式です。
証明書はドメイン使用権のみを証明します。所有権の確認方法は主に2つ。「メール」もしくは「Webサイトへの認証ファイル設置」のみのため、比較的低価格かつ短時間で取得することが可能です。
ただし、Webサイトを運営する企業の実在性を審査するものではないため、フィッシング詐欺のサイトではないことの証明ができず、ユーザへの認識には不十分となります。
企業認証型SSLサーバ証明書(認証レベル2)
認証レベルは上がり、Webサイトを運営する企業の実在性を証明します。
企業サイトでは一般的に使われているのが、この企業認証(OV:Organization Validation)と呼ばれる認証方式です。
ドメインの使用権に加え、運営企業が法的に実在すること、および、確かにその企業が運営するサイトであることを証明します。
企業認証型SSLサーバ証明書を発行するためには、ドメイン名登録名義の確認のほかに、「登記事項証明書」または「第三者データベース」を併せて確認。
さらに、電話による申請者の在籍と申請意思の確認を行うことから、認証強度が強く、高い信頼性を実現します。
EV SSL証明書(認証レベル3)
認証レベルは最大で、アドレスバーに組織名が明示されます。
EV認証(EV:Extended Validation)は、Webサイトを運営する企業の実在性を最も厳格に認証するSSLサーバ証明書です。
認証局運用の「EVガイドライン」に基づき、企業の実在性を厳格に調査します。
さらに、企業認証審査のプロセスに加え、「証明権限確認者の在籍」と「申請責任者確認書」の確認も求められます。
なお、審査工程も多いため、証明書の発行までの期間は比較的長期になりますが、ユーザに対する安全性をわかりやすくアピールすることができます。
このように、「認証レベル」の違いによってサイトの「信頼度」が変わってきます。また、サイトを審査する「認証局」によっても、信頼の高さは異なります。
「認証局」も複数社あり、合同会社シマンテック・ウェブサイトセキュリティ(旧 日本ベリサイン株式会社)や、GMOグローバルサイン株式会社、セコムトラストシステムズ株式会社などが政府レベルでの認可を受けており、信頼性が高いです。
まとめ
SSL化はWebサイトのセキュリティを向上することだけでなく、企業の「信頼感」を高めることにもつながります。また、副次的な要因ですがSEOにも効果的な施策でもあります。
もし、まだ自社サイトにSSL/TLSを導入されていない場合は、早めに導入することをおすすめいたします。セキュリティ面の追求だけであれば、どのSSLでも問題ありませんし、「信頼感」が必要な場合は高価格帯のSSL/TLSを導入すると良いでしょう。
企業の規模やWebサイト要件に応じてご検討ください。