SSLをざっくり説明すると、インターネット上でユーザーとウェブサイト間のデータのやり取りを暗号化してユーザーの情報が第三者に盗まれる事を防ぐ仕組みです。
ECサイトの発展や個人情報保護強化の必要性から、WebサイトにSSLを導入する企業が増え、上場企業では、2020年時点で77.6%が導入(※)しており、
2023年現在は90%を超えていると思われます。
しかしながら、中小企業においては、導入していない企業がおそらく50%以下と思われ、導入を検討している企業も多数いるかと思います。
ここでは、SSLの意味から種類まで詳しく説明していきます。
(※)出展元:【最新】上場企業の常時SSL化普及率は77.6%|高まる常時SSL化対応の必要性
sslとは
SSL(Secure Sockets Layer)とは、インターネット上でのセキュアな通信を提供するための仕組み(プロトコル)です。
SSLはデータの暗号化と認証を行い、データの盗聴や改竄から保護します。
例えば皆さんがECサイトで買い物をする場合、「個人情報」や「クレジットカード番号」を入力すると思いますが、これらの情報を第三者に盗まれる事を防ぐのがSSLです。
sslを導入するとサイトのurlがhttpからhttpsに変更されます。追加されるsはsecure(安全)の頭文字です。
Tips:常時SSLとは?
問い合わせフォームなど、ユーザーが情報を入力するページだけをSSL化するのではなく、全てのページをSSL化するのが常時SSLです。
一昔前では、ユーザー情報を保護さえすれば良いという観点から、非常時SSLのサイトが多くみられましたが、現在は、セキュリティの向上、Googleの評価向上はもちろん、サイト内遷移がhttpとhttpsの混在だと行動分析ができないため、webサイト分析を行いたい場合は、
常時SSL化が必要となります。
SSLとTSLの違い
SSLとTSLは、どちらもデータ通信を暗号化し送受信させる仕組みです。
SSLの次世代規格がTSL(Transport Layer Security)で、現在はほとんどの場合、TLSが使用されていますが、SSLの名称が一般化しているためTLSであってもSSLと呼ぶケースがほとんどです。
SSLの役割
SSLの主な役割は、以下のようなセキュリティ上の機能を提供することです。
1.データの暗号化
SSLは送信されるデータを暗号化し第三者から盗聴を防ぎます。SSLは共通鍵暗号方式と公開鍵暗号方式を組み合わせて使用し、セキュアな通信チャネルを確立しますので、仮にデータが盗聴されても読み取ることができなくなります。
2.クライアントとサーバーの認証
SSLは、通信相手が信頼できるかどうかを確認するための認証機能を提供します。SSL証明書を使用して、サーバーの身元を確認し、通信相手が正当なサーバーであることを確認します。これにより、クライアントは中間者攻撃などのリスクを軽減できます。
3.データの改竄の防止・検出
SSLは、通信が暗号化されているため、改ざんは出来ません。
またデータの改竄を検出するためのメカニズムを提供しております。ハッシュ関数を使用してデータのダイジェスト(ハッシュ値)を計算し、受信側で再計算されたハッシュ値と比較することで、データの改竄の有無を確認します。
SSL証明書の種類
SSL証明書には、以下のような種類があります。
SSLサーバ証明書は、認証局がどのレベルで認証したのかによってレベル分けされた「ドメイン認証」「企業実在認証・組織認証」「EV認証」の3種類の認証タイプが存在します。
1.ドメイン認証(DV認証:Domain Validated Certificate)
ドメイン名確認型証明書は、ドメインの所有権を確認するために発行されるものです。発行までの手続きが比較的簡単で、迅速に入手することができます。主に個人ブログや小規模なウェブサイトで使用されます。
2.企業実在認証・組織認証(OV認証:Organization Validated Certificate )
企業実在認証・組織認証は、ドメインの所有権と組織の正当性を確認するために発行されるものです。証明書発行機関が組織の情報をより詳細に検証し、証明書に組織名が表示されます。中規模および大規模なウェブサイトや企業のウェブアプリケーションなどで使用されます。
3.EV認証(Extended Validation Certificate)
拡張検証型証明書は、最も高いレベルの証明書であり、ドメインの所有権と組織の詳細な検証を行います。EV証明書を使用すると、ウェブブラウザのアドレスバーに組織名や緑色の表示が表示され、ユーザーに対して高い信頼性を提供します。主に銀行やオンラインショッピングなどの金融機関や重要なオンラインサービスで使用されます。
認証項目の数が多い方が、証明書の信頼性が高くなります。
ただ誤解してはいけないのは、認証のレベルによって、SSLの強度が増し、よりセキュアになるわけではありません。
あくまで証明書の信頼性に関してのみです。
SSLの導入手順
SSL(またはTLS)を導入する手順は、一般的に以下のようなステップで行われます。
1.SSL証明書の入手
SSL証明書は、信頼できる証明書発行機関(CA)から入手する必要があります。一部のCAでは、無料の証明書も提供しています。証明書には、ウェブサイトのドメイン名と公開鍵が含まれます。
2.サーバーの準備
ウェブサーバーをSSL対応に設定します。これには、必要なソフトウェアのインストールや設定の変更が含まれます。
3.秘密鍵とCSRの生成
サーバー上で秘密鍵と証明書署名要求(CSR)を生成します。秘密鍵はサーバー上に保管され、CSRは証明書発行機関に提出されます。CSRには、ドメイン名や組織情報などが含まれます。
4.CSRの提出
CSRを証明書発行機関に提出します。証明書発行機関は、提出されたCSRを検証し、ドメインの所有権や組織の正当性を確認します。
5.証明書の発行
証明書発行機関は、CSRの検証が完了したら、SSL証明書を発行します。証明書には、公開鍵と証明書チェーン(ルート証明書、中間証明書)が含まれます。
6.証明書のインストール
発行されたSSL証明書と秘密鍵をサーバーにインストールします。具体的な手順は、使用しているウェブサーバーソフトウェアによって異なります。通常、証明書と秘密鍵のファイルパスを設定ファイルに指定する必要があります。
7.サーバーの設定変更
ウェブサーバーの設定を変更し、SSL/TLSを有効にします。これには、ポート番号の変更(通常は443)、暗号化プロトコルの選択、証明書ファイルの指定などが含まれます。
8.設定の確認と監視
SSL証明書が正しくインストールされ、ウェブサイトがHTTPSでアクセスできることを確認します。また、証明書の有効期限や更新などの監視も重要です。
SSL導入はGOOGLEのSEO対策として重要
2014年よりGoogleは、常時SSL対応(https化)がランキングの要因であることを明言しています。
現在は常時SSL対応を大半のサイトで実施しているため、SSLを未導入の場合は、検索順位が下落する可能性がありますので、
サイトで集客を行いたい企業は必ずSSLを導入してください。
サイトのセキュリティ対策はSSLだけじゃない
サイトのセキュリティ対策はSSLさえ行えば、万全になると思われる方もいるかと思います。
しかし、それだけでは不十分で、例えばFTPによるファイル転送も、暗号化されていないため、通信上でパケットキャチャされ、ID・パスワードの漏洩が発生するリスクがあります。
サイトのセキュリティ対策として、SSL以外で行う必要がある事を3つ説明します。
1.ファイル転送をSFTPで実施
TPの盗聴リスクの回避には、SFTP(SSH File Transfer Protocol)の利用をお勧めします。
SFTPはSSH(Secure Shell)プロトコルを使用して暗号化されたセキュアな接続を確立し、ファイルの転送や管理を行います。
転送量が少なく、データ保護関連法で規制されているデータの転送を行わない場合は、SFTPで十分ですが、
大量データ転送を必要としたり、重要なファイルを転送が必要な場合はMFT(マネージド・ファイル・トランスファー)の利用を検討する必要があります。
2.WAFの導入
WAF(Web Application Firewall)とは、ウェブアプリケーションに対する様々な攻撃や脆弱性を検出し、防御する役割を果たします。例えばwordpressを利用している場合は、wordpressそのものの攻撃を防御するだけでなく、データベースへの攻撃もあわせて防御します。
3.国外IPアクセス制限設定
国外からのアクセスが必要ない場合、国外からのアクセスを制限することで無差別な総当たり攻撃などから防御する事ができます。
その他にも、不要なアプリケーションやサービスの削除や使用していないファイルを置かない事や、wordpressを利用している場合は、セキュリティ対策用のプラグインを導入などがありますが、上記3つの対策は最低限行った方が良いので、未導入の方はぜひ検討してみてください。