[Vol.61]SSLの常識・非常識
インターネット上のセキュリティ対策として広く使われているSSL(Secure Socket Layer)について、Webサイト(ホームページ)運営者の観点から見ていきましょう。
SSLとは?
通常、インターネット上でのデータ通信はデータがそのままパケットデータとして転送されているため、通信経路上で盗み見される危険性があります。
そこでデータを暗号化して通信することにより、万が一、通信経路上で盗み見された場合でも、解読されずに情報漏えいを防ぐことができます。
その暗号化の方法の1つとして、SSLが広く用いられています。
例えて言うと、SSL化していない通信はハガキを送っているようなもので配達途中で文面を読まれる可能性がありますが、SSL化することで封書で送るように容易に文面を読まれる危険性を減らすことができます。
ブラウザでのSSL通信
通常ブラウザ上でWebサイト(ホームページ)を閲覧する場合は「http://」で始まるURLを用いますが、SSLによる暗号化通信を行う場合は「https://」で始まるURLを用います。
SSLにより暗号化通信しているときは、ブラウザに鍵マークが表示されます。
SSLによる暗号化通信を行うためには、サーバー上に認証局が発行する証明書を設置する必要があります。
レンタルサーバーのプランによって、独自のSSLが利用できるコースや、共用のSSLにより暗号化通信しているときは、ブラウザに鍵マークが表示されます。
SSLを使えるコース、自分で証明書を取得して設定するコースなど、用途や金額もまちまちです。またSSLが設定できないプランもありますので、レンタルサーバーを契約する際には、将来的な利用も考慮した上で、SSLの可否を踏まえて検討する必要があります。
SSLを用いるケース
例えば、会社概要ページなどに公開している情報は盗み見されても何ら支障はないので特にSSL化する必要はありませんが、万が一、個人情報やパスワードなど漏えいした場合に影響がある情報をやり取りをするページについては、SSLによる暗号化通信を行うことが望ましいでしょう。
実際の情報漏えいを防ぐ意味ももちろんですが、サイトを訪れたユーザー(お客さま)に安心して利用していただけるというサービス面での効果もあります。
サイトのセキュリティ対策はSSLで万全?
SSL化することでWebサイト(ホームページ)との通信は暗号化されますが、これだけではセキュリティ対策として万全とは言えません。
サーバー上のデータとメール受信処理
Webページ(ホームページ)からユーザーが入力した個人情報などのデータは、サイト運営者にメールとして届く仕組みが広く用いられています。
この場合、ユーザーのPCからWebサーバーまではSSLにより暗号化されていますが、サイト運営者のメールボックスには暗号化されていない通常データとして保存されることになります。また、サイト運営者がメールを受信する際にはSSL化していないケースが多いため、メールの受信処理中で盗み見された場合、個人情報が漏えいする可能性も否定できません。
情報漏えいの危険性
サーバー上に保存されたメールは、サーバー側の基本的なセキュリティ対策を行っておくことで、情報漏えいの危険性を減らすことができます。
また、メール受信処理中での盗み見を防止するには、メール受信の際もSSLを使って通信する必要があります。
メール受信時のSSL化は、メールサーバーとサイト運営者が使うメールソフトそれぞれがSSLに対応している必要があります。
情報漏えいのリスク
個人情報漏えいを防止するためのSSL化は広く普及していますが、実は漏えいのリスクは、通信途中の盗み見以外のケースが圧倒的に多いのが実状です。
クレジットカード情報などが入っていれば別ですが、一個人の名前や住所などの情報を第三者が盗み見したところで、情報としての価値はほとんどありません。個人情報が何百人、何千人分とリストになっているから、その情報に価値が出てくるのです。
そのため報道されるような個人情報の漏えい事故は、そのほとんどが通信経路上での盗み見によるものではなく、保管してあるデータの管理上の問題や社員などによる人為的な漏えいによるものです。
したがって、SSLによる暗号化はもちろんですが、保管データの漏えい防止にも十分な対策を行う必要があります。
[Vol.67]ショッピングサイトの注意点では、個人情報流出の事例を紹介しています。