私たちは日頃からインターネットを通じて、Webアプリケーションやサービスを利用し、その恩恵を受けています。その一方でWebサイトの改ざんや情報漏えいといった事件・事故が後を絶たないという実情もあり、Webサイトの運営者はセキュリティに対する正しい知識が身に付ける必要があります。
本稿では、Webサイトの運営に欠かせないSSLについて解説するとともに、常時SSL時代のセキュリティ対策について考えます。
SSLとは
SSLはSecure Sockets Layerの略称で、クライアント(Webブラウザ)とWebサーバー間で送受信するデータを暗号化するプロトコルです。インターネット上でやり取りする通信データを暗号化して盗聴を防ぐだけでなく、デジタル証明書の技術を組み合わせて実現されており、改ざんやなりすましを防ぐことができます。SSLをもとにTLS(Transport Layer Security)が開発された経緯があり、TLSを含めてSSLと呼んだり、SSL/TLSのように併記されることが多くなっています。現在、TLS 1.3が最新バージョンとなっており、TLS 1.2以降が推奨されています。
WebブラウザとWebサーバー間の通信は、HTTP(Hypertext Transfer Protocol)でやり取りされますが、HTTPでは通信するデータが暗号化されないため、インターネット上にログイン情報や個人情報、決済に必要なクレジットカード情報などをHTTPのまま送信してしまうと悪意ある第三者に盗聴される恐れがあります。そのため、SSLを活用してHTTPS通信でデータを保護する必要があるのです。
常時SSL
以前は、個人情報を取り扱う問い合わせフォームや会員ページ、クレジットカードを入力する必要のある決済ページなど、特定のページだけをHTTPSで通信することが多かったのですが、現在は全てのページをHTTPSで通信する常時SSL(Always On SSL)が普及しています。盗聴やなりすましなど、様々なセキュリティリスクに対処するのはもちろんのこと、これにはいくつかの理由があります。その一つとして、Google ChromeやMozilla Firefoxなどの主要ブラウザがHTTP通信(非SSL)のページに対し、「保護されていない通信」や「この接続は安全ではありません」のように表示するようになったことがあります。
皆さん、このようなページを訪れた場合、どのように思うでしょうか?企業の顔でもあるWebサイトの印象や信頼という点でマイナスイメージを抱くと思います。これは、利用者の多いGoogleの検索順位の決定要因にも関わると言われており、SEOへの影響も出てきます。ユーザーが安心して利用することができるWebサイトであると判定、評価されるためにもこれからのWebサイトの運営では、常時SSLが必須とされています。
SSLの種類
SSLに対応するには、WebブラウザとWebサーバ間の通信データを暗号化するための電子証明書であるSSLサーバー証明書が必要になります。SSLサーバー証明書は、Webサイトの運営者の実在性を確認する認証レベルに応じて3種類があります。
ドメイン認証
ドメイン認証(DV:Domain Validation)は、3種類の中で認証レベルが最も簡易な証明書です。申請者が証明書に記載のあるドメインの使用権を有しているかを確認することで発行されます。証明書に運営組織の記載はありません。
企業認証
企業認証(OV: Organization Validation)は、証明書に記載される組織が実在し、その組織が証明書に記載されるドメインの所有者であることを確認して発行されます。Webサイトの身分証明という点でワンランク上の信頼性があります。
EV認証
EV(Extended Validation)認証は、3種類の中で最も厳格な審査が行われ、認証レベルの高い証明書です。証明書に記載される組織が実在するかの確認だけでなく、組織の所在地や申請者の情報や権限の確認が行われます。EV認証を導入したWebサイトは、証明書に運営組織が記載されるほか、アドレスバーにウェブサイトの運営組織が表示されるなど、ユーザーに与える安心感が高く、EV認証を導入することの大きなメリットでもあります。
SSLサーバー証明書には、上記の3種類がありますが、HTTPS通信によりWebブラウザとWebサーバー間の通信を保護する役割を果たすという点では同じです。認証レベルによって証明書を取得するための費用は高くなりますが、その分Webサイトの身分証明、信頼性のレベルも高くなります。企業の顔となるコーポレートサイトや決裁情報をやり取りするオンラインショッピングのサイトでは「EV認証」、キャンペーンサイトや組織内サイトでは「DV認証」のように用途に合ったSSLサーバー証明書を利用すると良いでしょう。
常時SSL時代のセキュリティ
ここまでSSLと常時SSLの普及に関する説明をしてきました。Webサイトの運営者、ユーザーにとって非常に良いことであり、今後も当たり前のこととして浸透していくと考えられます。
一方で、暗号化された通信に潜む脅威という点で考慮しなくてはならないことがあります。インターネット上でやり取りされる通信がHTTPからHTTPSへとシフトしたことで、盗聴を防ぐことができるようになりましたが、脅威の監視や検査という点では暗号化によりデータの中身を検査することができないという課題があります。そのため、WAF(Web Application Firewall)やIPS(Intrusion Prevention System)といったセキュリティ製品の機能を活かすためにHTTPSを復号し、きちんと監視や検査ができるようにシステムを構築する必要があります。ロードバランサ(負荷分散装置)など、SSLを復号する機能を有する機器を活用し、検査可能なゾーンにWAFやIPSを配置したり、セキュリティ機器やサービスにもSSLサーバー証明書、秘密鍵を設定してHTTPSを復号できるようにします。なお、Webサーバーのモジュールとして動作するホスト型WAFの場合、SSLの処理はSSLに対応したWebサーバー自身が行うため、HTTP/HTTPS通信を特に意識することなく、脅威の監視・検査を行うことができます。
いかがでしょうか?Webサイトの運営に欠かせないSSLと常時SSL時代のセキュリティ対策について解説しました。「セキュリティ機器は導入しているけれど、復号できていないためHTTPS通信を検査できない」といったことがないようにシステム構成やセキュリティ機能、設定の見直しに取り組んでみてください。
- カテゴリ:
- 動向
この記事に関する製品のご紹介
ホスト型WAF「SiteGuard Server Edition」
SiteGuard Server Editionは、ウェブサーバーのモジュールとして動作するホスト型WAF製品です。Webサーバー自体にインストールするため、専用ハードウェアが必要ありません。ネットワーク構成を変更せず、できるだけシンプルに導入したいお客様に最適な製品です。
詳細はこちら