「SSL証明書」という単語はご存知でしょうか?サイバーセキュリティにある程度詳しい方なら今更説明するまでもないほど馴染みがある言葉かと思いますが、これから学ぶ方にとっては少しとっつきにくいと感じるものかもしれません。
ここでは、Webサイトのセキュリティを守るのに欠かせないSSL証明書について、基本的な解説と導入が必要な理由を分かりやすく解説します。よろしければ参考にしてください。
1.SSL証明書・SSL化とは
SSL証明書とは、SSL/TLSを用いるために発行する電子証明書のことです。Webサイトを表示するために利用するサーバーに対して発行するものなので、「SSLサーバー証明書」とも呼ばれます。
SSL証明書を発行することでデータの改ざんとなりすましを防止し、第三者にサイト利用者の情報が盗み取られないよう暗号化することが可能です。
また、SSLを導入した状態を「SSL化」と呼びます。 SSL化するとURLの冒頭が「https」になり、鍵マークが表示されます。外部サイトのSSL化をチェックしたいときはアドレスバーを見るとよいでしょう。
ちなみにSSLとTLSはほとんど同じ機能を持つ暗号化技術ですが、現在はほとんどの場合TLSを用いて暗号化を行います。TLSで暗号化した場合であっても慣習的に「SSL化」と呼ぶことが多いです。
2.SSL証明書の種類
SSL証明書を取得するには、あらかじめ条件を満たしたうえで認証局(CA)から証明書を発行してもらう必要があります。
社内システムなど一般には公開されないサイトの場合は個人や社内のサーバーで暗号化通信を行う「プライベート認証局」を利用することもありますが、他者が訪れることを想定して制作したサイトについては定められた認証局(パブリック認証局)で手続きを行わなければいけません。
また、パブリック認証局で発行できるSSL証明書は認証方法によって以下の3つに分けることができます。
| 認証方法 | 料金 | 取得難易度 | 特徴 |
|---|---|---|---|
| ドメイン(DV)認証 | 無料~年間数万円 | 低 | 誰でも取得可 オンラインで完結 |
| 企業(OV)認証 | 年間数万円~数十万円 | 中 | 法人のみ取得可 電話認証で実在確認あり |
| EV認証 | 年間数万円~数十万円 | 高 | 法人のみ取得可 厳密な審査 |
ドメイン(DV)認証
該当サイトのドメイン利用する権利を証明するのが「ドメイン認証」です。
無料で取得できるのもあるため、個人サイトや小規模な企業のサイトであっても最低限ドメイン認証でSSL証明書を取得しておくべきです。
有料の場合も認証の信頼性は全く変わりません。料金を払うことでカスタマーサポートなどを受けることができるので、社内に知識を持った人がいない場合は有料のドメイン認証を使うとよいでしょう。
取得は最も簡単であり、オンラインのみの手続きで済ませることができます。
企業(OV)認証
ドメインの利用権に加え、該当サイトを運営する企業の実存性(架空の企業を名乗っていないかどうか)を証明する認証方法です。
ドメイン認証は個人でも受けられますが、企業認証を受けられるのは法人として認められた組織のみです。そのため、取得の難易度がやや上がります。
審査時には企業の実存確認のため認証局から電話がかかってきます。
EV認証
3つの中で最もランクがと信頼性が高い認証方法です。かかる費用は企業認証よりも比較的高く、最も高額なものでは年額が100万円近いサービスもあります。
ちなみに以前はEV認証で証明書を取得したサイトにアクセスするとアドレスバーかURLが緑色に表示されたため簡単に見分けることができましたが、現在この仕様は全てのブラウザで廃止されています。
3.SSL証明書・常時SSL化の必要性
SSL証明書は基本的にサイト内部のシステムを守るものではないため、中にはサイバーセキュリティ上必要ないのではとする見方もあります。しかし、実際のところはサイトと企業そのものの信頼性を維持するために必要不可欠なものであることを頭に入れておきましょう。
ユーザーからの信頼を得る
SSL証明書はサイトを訪れるユーザーを守るためのシステムです。現在では、一般的に用いられている全てのブラウザでサイトがSSL化されているかどうかすぐに確認できるようになっています。そのため、SSL証明書を取得していないと「なんとなく怪しいからこのサイトはやめておこう」と不信感を持たれるなど、ユーザーを遠ざけることになりかねません。
また、サイト内にユーザーの個人情報を入力するフォームなどがある場合はさらに致命的です。ネットショッピング時に入力したクレジットカード番号や住所が漏えいするリスクがあることが外部から筒抜けになっているので、サイバー犯罪の格好の餌食となってしまいます。
常時SSL化とは
以前はユーザーが情報を入力するフォームやログインのページのみを限定的にSSL化するのが一般的でした。
現在はすべての情報のやり取りを暗号化通信で行う「常時SSL」の導入が求められています。
常時SSL化が必要な理由
Cookie(ブラウザに保存される情報)には、サイトの閲覧履歴なども含まれることがあります。サイト全体がSSL化していないと悪意ある第三者に閲覧履歴を傍受されてしまうため、ユーザーのリスクを軽減するという意味で常時SSL化は必要不可欠です。
また、ウェブサイト表示の高速化に必要な「HTTP/2」というプロトコルは、ウェブサイトの常時SSL化が必須事項になっています。Googleも常時SSLを導入していることを検索順位の決定要因にしていると公表しているので、SEO的にも常時SSL化を行っておくべきでしょう。
著名な企業であってもSSL化未対応のサイトはかなり存在します。
また、スマートフォンは特にURLバーが目に留まりやすく警告マークが一層目立つため、不安を感じて離脱するユーザーもいるでしょう。一度自社のサイト表示をチェックしてみてください。
4.まとめ
SSL証明書とは、サイトを表示する際の通信に暗号化を行っていることを証明するものです。実在性の信用度によっていくつか認証の種類があるため、自社の状態に合わせて合った認証局を選ぶようにしましょう。
自社のWebサイトの状態がよく分からないという方は、外注サービスの導入を検討するのもよいでしょう。当社では、WordPressをはじめとするサイト保守のサービスを提供しています。ぜひご検討ください。
