近年は、ECサイトなどを利用してショッピングを楽しむ人が増えており、クレジットカード番号や住所といった個人情報をインターネット上で入力する機会が多々あります。その一方で、フィッシング詐欺や個人情報の流出といった事件が増加傾向にあることも見逃せません。
大切な個人情報を第三者に盗まれないようにWebサイトなどのセキュリティを高めるためには、SSLの技術が欠かせません。この記事ではSSLについての概要やWebサイトをSSL化するメリット、導入方法などを紹介します。
目次
SSLとは?
SSLとはSecure Socket Layerの略称であり、インターネット上でデータを暗号化して送受信する仕組みの一種です。
主にクレジットカード番号や、一般的に秘匿すべき個人に関する情報を取り扱うWebサイトなどで、第三者に情報が盗み取られるのを防ぐためにSSLが広く利用されています。
SSLには暗号化に加え、電子証明書によって通信相手の本人性を証明してなりすましを防止する働きもあり、インターネットの安心と安全に貢献しています。
関連記事:個人情報はどう守る?加速するCookie規制とブロックチェーン技術応用の可能性について
SSLとTLSの違い
SSLとよく似た仕組みの一つとして、TLSというものもあります。TLSとはTransport Layer Securityの略で、メールを暗号化してプライバシーと配信の安全性を確保するための標準的なインターネットプロトコルです。
TLSには、インターネット接続を介して通信されるメールへの不正アクセスを防ぐ効果があります。
一言でいうと、TLSはSSLの次世代規格です。一般的にSSLと呼んでいるものも、実質TLSを指していることも少なくありません。場合によっては両方を踏まえてSSL/TLSと表記されることもあります。
SSLの仕組み
SSLでは共通鍵暗号方式と、公開鍵暗号方式という2種類の仕組みを用いて暗号化を行っています。もし暗号化された文章を途中で盗み見られたとしても、秘密鍵を保持していない第三者には情報を読み解くことができません。この仕組みによって、SSLは情報漏洩を防いでいます。
クライアント側(パソコンなどを利用するユーザー側)から通信のリクエストを送ると、まずサーバー側から公開鍵の情報が送付されます。次に公開鍵の情報を基にしてクライアント側で共通鍵が生成されて、サーバー側に送信されます。そして、クライアント側が生成された秘密鍵を利用して暗号化した個人情報や決済情報といったデータをサーバー側に送り、サーバー側は事前にクライアント側から貰っている共通鍵を使用することでデータを復元します。これがSSLの大まかな仕組みです。
SSLと関連が深い「HTTPS」と「HTTP」の違い
SSLが大きく関係している仕組みとして、HTTPSとHTTPの2つが挙げられます。ここではHTTPSとHTTPの2つの違いについて解説していきましょう。
関連記事:httpとhttpsの違いとは?セキュリティの観点も踏まえ解説!
HTTPSとは“SSL化されている”仕組み
HTTPSとはHypertext Transfer Protocol Secureの略で、ウェブブラウザにホームページの内容を表示させるための仕組みの一種です。HTTPSではSSLの暗号化技術が適用されており、セキュリティが高められています。
HTTPSの場合、Webサイトアドレスの先頭部分が「http://」ではなく「https://」のため、分かりやすいでしょう。つまりWebサイトのアドレスの最初が「https://」で始まっている場合は、データのやり取りを暗号化して通信しているということがわかるのです。
HTTPとは“SSL化されていない”仕組み
HTTPは、Hypertext Transfer Protocolの略称で、HTTPSのSがない単語になります。HTTPもHTTPSと同様に、WebサーバーとWebクライアントの間でデータの送受信を行うために用いられるプロトコルの一種です。
ただしHTTPの場合はデータ通信の際に、通信内容が暗号化されることはありません。そのため、http通信を使ったWebサイトでデータの入力や発信を行うと、悪意を持った第三者に通信内容を知られてしまう恐れがあります。
WebサイトをSSL化するメリット
ここまでSSLについて、詳しく解説してきました。では実際にSSL化を行うと、どのようなメリットが得られるのでしょうか。ここでは、WebサイトのSSL化を行うメリットについて紹介します。
関連記事:常時SSL化って大事なの?今からでも遅くないSSL化について徹底解説!
フィッシング詐欺の防止
WebサイトをSSL化するメリットの一つとして、第一にフィッシング詐欺を防止できることが挙げられます。フィッシング詐欺とは、偽メールを使ってユーザーを偽サイトへと誘導し、パスワードやクレジット番号、個人情報などを盗み取るオンライン詐欺の一種です。
WebサイトでSSLの技術を利用すれば、フィッシング詐欺を予防することができます。SSLには電子証明書によって通信相手の本人性を証明する効果もあるからです。
重要な情報の入力を求めるWebページにおいてSSLが使用されていない場合は、フィッシング詐欺を疑っても良いかもしれません。
関連記事:スパムとは?意味や見分ける方法、被害を防ぐための対処法について解説
改ざん防止
SSLには、データの改ざんを防ぐ効果も期待できます。改ざんとは、Webサイトの表示や通信で送受信するデータ、サイトを利用するユーザーとサイトの間でやり取りするデータなどを書き換える行為のことです。
例えば公式サイトの表示をバグ表示に書き換えられたり、金融機関などのサイトで入力したIDとパスワードを第三者に送信されたり、通信しているデータを書き換えられるなどの被害が考えられます。
そこでSSL認証を取得すれば、サイト利用者とサイトの間でやり取りされるデータが保護できます。万が一書き換えられたデータを送受信したとしても、SSL認証を取得していれば、そのデータを信頼することはありません。SSLが不正なデータとして見抜いて、弾き返してくれるのです。
盗聴防止
盗聴とは、サイトを利用しているユーザーがサイトで入力したデータを盗み見る行為のことです。例えば、金融機関のサイトに入力したIDやパスワードの情報を盗み見られると、不正なログインに使用されてしまう恐れがあります。
SSL認証を使うと、サイト利用者とサイト間でやり取りするデータは暗号化されたあと、保護が行われます。そのため、不正な利用者がデータを盗聴したとしても、暗号化されたデータを読み取られることはありません。
SSL化はSEOにもメリットあり
WebサイトのSSL化はSEOの面でも効果が期待できます。SEOとはSearch Engine Optimizationの頭文字を取った略称で、検索エンジンの最適化という意味です。検索エンジンの検索結果の画面で上位に表示されるためには、このSEO対策が重要となります。
SSL化が行われているWebサイトは、Googleなどの検索エンジンから、ユーザーが安心して使用できる信頼性の高いコンテンツであるとして、高く評価される傾向があります。SSL化されていないWebサイトよりも検索結果の上位に表示されやすいのです。
関連記事:SEO対策をまずは自分でやるには?初心者がすぐに取り組める手法を解説!
SSL化していないWebサイトは警告画面が表示される
Google Chromeなどの一部のブラウザでは、SSL化されていないWebサイトにアクセスすると警告文や警告画面が表示されるようになっています。この警告表示を見たユーザーの中には、Webサイトのセキュリティを心配してページから離脱してしまう人も出てくるでしょう。
現状でWebサイトのSSL化を行うことは、セキュリティやSEOの観点から、もはやスタンダードな取り組みといえます。警告表示によるユーザーの離脱を防ぐためにも、SSL化を早急に進めましょう。
関連記事:直帰率とは?離脱率との違いと目安、改善方法をわかりやすく解説します
SSLサーバー証明書の3種類
SSLサーバー証明書は、電子証明書を発行する組織である認証局(CA:Certification Authority)がサイト運営元の確認を行い、認証をしたうえで発行するものです。
認証局が確認する内容によって「ドメイン認証型」「企業認証型」「EV認証型」の3つにレベル分けがされています。そこでSSLサーバー証明書の種類について、それぞれの違いを見ていきましょう。
関連記事:SSLはどれを選べばいいの?SSLの種類と証明書について
ドメイン認証型
ドメイン認証とは、認証局などの証明者が、申請されたドメインの所有者が申請者であることを確認する仕組みのことです。
SSLサーバー証明書に記載されるURLは、偽装することができません。ユーザーは証明書を確認することで、自分がアクセスしているWebサイトのURLが正しいかどうかを知ることができます。
ドメイン認証型のSSLは、コストを抑えて早く発行することが可能です。キャンペーン用のページなど、期間限定で用意されるサイトの暗号化を手軽に行うために使用されることが多いようです。
企業認証型
企業認証(企業実在認証)とは、証明書に載っている組織が法的に実在しており、なおかつその組織が証明書に記載されているドメインの所有者であることを確認したうえで発行される証明書のことです。
企業認証型の場合も、証明書に記載される組織名を偽装することはできません。Webサイトにアクセスするユーザーは、証明書を確認することで自分がアクセスしたURLの運営組織を知ることができます。
企業認証型では証明者情報に組織名が記載されるため、Webサイトの信頼性もアップします。ユーザーに安全性をアピールしたいコーポレートサイトや、SNSサイトなどでよく利用されています。
EV認証型
EV認証とは、Extended Validation認証の略称です。EV認証は証明書に記載されるドメインの所有者と運営組織の法的実在性の確認を行ったうえで、さらに組織の所在地や申し込みの意思、権限を確認して発行される証明書のことを指します。
EV認証の場合は、SSLサーバー証明書の中でも最も厳格な審査が行われます。そのためセキュリティのレベルも高く、オンラインショップやネット銀行などでよく用いられています。
SSLを導入する際の流れ・手順
SSLを導入するためには、まず署名リクエストと呼ばれるSSLサーバー証明書発行のための申請書を作成します。それから認証局の申し込みフォームに必要事項を入力して、実際に申請を行います。
登記簿謄本や印鑑証明書など、審査に必要な書類がある場合には、認証局に送付しましょう。その後、証明書発行のメールが届いたら、所定のURLから証明書をダウンロードします。ダウンロードした証明書をサーバーに保存して、インストール作業が終われば完了です。
まとめ
インターネット上では、第三者に情報を盗まれたり改ざんされたりといったリスクが常に存在しています。SSLを活用して通信の安全性を担保し、安全にデータの送受信ができる環境を整えることが、信頼できるWebサイトには欠かせません。またSEO対策をするうえでも、SSL化はとても重要です。
SSLには3つの種類があり、それぞれ信頼性が異なります。自社のWebサイトなどにSSLを導入する際は、どれくらいの信頼性が必要なのか考えて申請手続きを行いましょう。ユーザーが安心して利用できるサイトを構築するために、ぜひSSL化を始めてみてください。