SSLとは何か?SSLの意義と3つの認証レベル | ソーイ株式会社 | 新宿のWeb制作会社
新宿のWeb制作会社|ソーイ
ホームページ制作
ランディングページ制作

SSLとは何か?SSLの意義と3つの認証レベル

新宿のWeb制作会社ソーイ TOP > Web担当者が知っておくと便利なこと > SSLとは何か?SSLの意義と3つの認証レベル
2017年6月28日 | Web担当者が知っておくと便利なこと

ここ最近、SSLの需要が一気に高まってきたように感じている。
SEO的にもSSL化しておいた方が有利になるなど、業界的にSSLが促進されている中でその認知も高まってきていることと、ユーザー自体がセキュリティにも敏感になってきていることが要因ではないだろうか。
 
本記事では、SSLについてその意味や意義、種類について解説していく。
 
 

SSLとは何か?

SSLとは、Secure Socket Layer(セキュア・ソケット・レイヤ)の略称だ。
Web上でやりとりされる個人情報の盗聴・改ざんなどを防ぐためのセキュリティ機能である。SSLが有効なWebサイトでは情報が暗号化されて通信される。万が一盗聴された場合においても、暗号化されているから、重要な情報が盗まれることはない
 
身の回りでのわかりやすい例としては、アマゾンのようなECサイト(物販サイト)がある。アマゾンで買い物をする際に、クレジットカード情報を始め、多くの重要な個人情報をWeb上で通信することになるが、SSL化されているので、安心して通信できるというわけだ。
 
SSL化しているサイトはURLがhttpではなく、httpsになっている。また、アドレスバーの隣に鍵マークがついているので、SSL化しているかどうか判断がつきやすい。
 

SSL化されたサイトはアドレスバーに鍵マークが付く


 

SSL化されていないサイトはアドレスバーにアテンションマークが付く


 
 

SSLサーバー証明書の発行

SSL化するためには、SSLサーバー証明書を取得し、それをサーバーにインストールする必要がある。SSLの認証機関にSSL認証の申請をし、認証がおりたらSSLサーバー証明書が発行してもらえる。
この認証作業だが、どこまでを調査し認証されるか、認証レベルが3つに分かれている
 
 

SSLの種類(3つの認証レベル)

SSLには認証レベルに応じて、ドメイン認証、企業認証、EV認証の3種類が存在する。認証レベルが高い方が信頼性はあるが費用がそれだけかかる。発行対象者も異なるのでチェックしておきたい。
 
 

ドメイン認証

認証機関がドメイン管理者に確認をすることでSSLサーバー証明書が発行される。ドメイン管理者が誰なのかまでは見られない。個人でも法人でも取得することができ、Web上ですぐに認証がおりることが多い。
 
 

企業認証

認証機関がドメイン管理者が法的に実在する企業であることを書類提示や電話確認を通して確認し、SSLサーバー証明書が発行される。ユーザーからパット見た感じはドメイン認証と変わらない。(証明書を確認すれば実際に運営している企業名が分かる)
 
 

EV認証

企業認証よりもさらに厳格な審査をもってSSL証明書が発行される。
EV認証はアドレスバーに企業名が表示される仕様になっているため、ユーザーが一目で信頼できるサイトであることを認識できる
 

 
 

どの認証レベルを選ぶか

まず説明しておきたいのが、認証レベルはセキュリティ強度のレベルを示すものではない。あくまでも認証作業をどのレベルでするのかが異なる。
 
ではどの認証レベルを選べばよいのだろうか。
 
まず、フィッシングサイトなどと区別する場合は、EV認証が有効になる。
フィッシングサイトというのは、本物を装った偽サイトのことだ。例えば、みずほ銀行はmizuhobank.co.jpが本物だが、偽サイトmizohobank.co.jpというサイト(若干スペルが違う)を悪意を持った人が立ち上げたとする。何も気づかずそこにアクセスして個人情報を入力することで悪意を持った人から個人情報を抜き取られ悪用される、というのがフィッシングサイトの罠だ。
 
EV認証はアドレスバーに企業名が表示される仕様になっているためユーザーは安心してそのサイトを利用することができる。
 

 
しかし、企業の実在確認が不要なドメイン認証は偽サイトでも得ることができる。つまり偽サイトmizohobank.co.jpもSSL化できるので、パット見、信頼できるサイトに見せかけることはできる。
 
では企業認証はどうかというと、証明書を確認すれば実際に運営している企業名が分かるので安心だが、パット見はドメイン認証と同じで、どの企業が運営しているかはユーザーにはわからない。つまりフィッシング詐欺という点についていえば、ドメイン認証も企業認証も被害抑止の対策レベルとしてはそう変わらないだろう。(サーバー証明書を表示するリンクを貼るといったこともできるので、そういった点で企業認証の方が対策しやすい。)
 
どの認証レベルを選択するのかは、単純にセキュリティを考えるのか、フィッシングサイトなどによる被害抑止も考慮するのか、役割を考えて使い分けたい
 
 

実際に証明書を見てみよう

今回はChromeで証明書を見る方法を説明する。
SSL化しているサイトをchromeで開き、右クリックをしよう。メニューが開いて「検証」という項目があるので、そこをクリックする。
 
Securityというメニューがあるのでクリックし、View certificateをクリックするとSSLサーバー証明書が表示される。企業認証している証明書には企業名が明記されている。
 

 

 
 
 

どういうケースでSSLが必要か

SSLは先述した通り、Webサイトでの通信を暗号化することで盗聴や改ざんを防ぐものである。
SSLをWebに導入するケースとしては、ECサイト(物販サイト)や個人情報をやりとりするお問い合わせフォームなどにおいて必要だろう。
 
 
まだまだ導入されていないケースも多く見られるが、SSL化しているサイトがSEO的に有利になるなど、全体的にSSL化が促進されていることは事実であるので、ドメイン認証だけでも検討してみてはいかがだろうか。