何気なくインターネットを使っている方も多いと思うが、実は条件が揃うと通信の内容が傍受されてしまう危険性がある。WebページのURLに用いられる「http:~」からはじまるHTTPプロトコルは暗号化されていない。暗号化されていないインターネット上の通信では、簡単に盗聴されてしまう可能性もあるのだ。

クレジットカード番号や住所などの個人情報が悪意あるものの手に渡れば、当然金銭的な被害を受ける可能性も高くなる。経済産業省の調査によれば、2012年の日本国内eコマース(電子商取引)市場規模は広義B2B(企業間取引)が262兆円、B2C(企業対消費者間取引)が9.5兆円と、前年度より拡大している。そもそも、Webサイトやサービスを運営しているサーバ自体が信頼できるものなのだろうか?

こういった懸念を安心に変えるために「SSL/TLSプロトコル」や「SSLサーバ証明書」が存在する。「https:~」ではじまるURLや鍵のアイコン、オンラインバンクやオンラインショッピングサイトなどで見られる緑のアドレスバー。これらは、SSLを使って"裸"のインターネットから大切な情報をセキュアに守ってくれる仕組みだ。

図はSSL/TLSの通信を大まかにイラスト化したものだが、サーバ/クライアント間以外に新たな存在があることにお気付きだろう。認証局(Certificate AuthorityもしくはCertification Authority)は、SSL/TLS通信時に参照するサーバ証明書を発行する存在である。

具体的には、SSL/TLSプロトコルは、通信データの暗号化や改ざん検出といった機能を提供してくれる。データ漏えいを未然に防ぐため、個人情報やクレジットカード番号といったデータの送受信に用いられるのが一般的だ。現在のeコマース市場の拡大、インターネットを使った個人情報のやりとりなど、SSL/TLSプロトコルの重要性は、かつてないほど高まっている。

コラムSSLの歴史

そもそもSSLはNetscape Communicationsが1994年に開発したプロトコルである。他方でEnterprise Integration Technologiesが、セキュアなHTTP通信を行うために「S-HTTP」というプロトコルを1992年から開発していたが、当時の2大WebブラウザだったNetscape CommunicationsとMicrosoftがSSLを採用したため、SSLだけが生き残る結果となった。 一私企業による暗号技術だったSSLを広めようと、IETFのワーキンググループが制定したのがTLS。SSLをベースに一部の仕様を必須にするなど相違点はあるが、SSLから発展的に生まれた。このような経緯と、既にSSLという呼称が普及していたため、現在でもSSL/TLSと呼ばれるのだ。

それではSSLサーバ証明書に関して、実際に認証局でサポート業務を担っている担当者のインタビューをもとに、一問一答形式で概要や重要性を解説していこう。今回は、GMOグローバルサインの毛藤彰彦さんにお話を伺った。

Q. SSLサーバ証明書とは?

GMOグローバルサインの毛藤彰彦さん

Answer.

SSLサーバ証明書は、大きく分けて「通信の暗号化」、「Webサイト運営者の身元保証」という二つの大きな役割を担っています。

身元保証の中にはさらに、ドメインの所有者と使用者が正しいのかを認証するサービス、サイトの運営組織が法的に実在するのかどうかを認証するサービスといくつかの種類があります。

具体的には、サーバを提供する企業が認証局に対して申請を行うと、デジタル署名が発行されます。これがサーバ証明書となります。

サーバ証明書は、ブラウザから確認することもできます。アドレスバーに表示される鍵のアイコンをクリックしていくと証明書の発行者、有効期間や暗号に使われているアルゴリズムなども確認できます。




Q. SSLサーバ証明書はどのように使われる?

Answer.

SSLサーバ証明書を受け取ったユーザーは、WebサーバなどにSSLサーバ証明書を設置し、SSL/TLS通信を求めるクライアントに同証明書を配布しています。

つまり、SSLサーバ証明書がなければセキュアな通信は行えないということになります。




Q. SSLサーバ証明書は信用できるのか?

Answer.

SSLサーバ証明書はWebサイトの所有者情報を表示する重要な存在ですが、その証明書自体が信用に値するか?という疑問も生じるでしょう。インターネットの世界では、「ルート認証局(root CA)」が存在します。ルート認証局は、認証業務運用規程(Certification Practice. Statement)の公開が必要となり、第三者認証機関の厳正な監査基準による審査等をクリアした認証局のみが「ルート認証局」と認められ、信頼できる認証局としてブラウザ等に登録されています。

Q. どのようなWebサイトでSSLサーバ証明書は必要か?

Answer.

最近では、個人情報の漏えいなどが大きな問題になるため、資料請求やアンケートフォームなど、ユーザーに個人情報入力を求めるWebサーバにSSLサーバ証明書は欠かせないと言えるでしょう。また、オンラインショッピングの決済ページは、クレジットカード番号などの情報漏えいを防ぐため、SSLサーバ証明書による暗号化が必須であると述べても過言ではありません。