私たちは日頃からインターネットを通じて、Webアプリケーションやサービスを利用し、その恩恵を受けています。その一方でWebサイトの改ざんや情報漏えいといった事件・事故を後を絶たないという実情もあり、Webサイトの運営者はセキュリティに対する正しい知識が身に付ける必要があります。
本稿では、Webサイトの運営に欠かせないSSLについて解説するとともに、常時SSL時代のセキュリティ対策について考えます。
SSLとは
SSLはSecure Sockets Layerの略称で、クライアント(Webブラウザ)とWebサーバー間で送受信するデータを暗号化するプロトコルです。
インターネット上でやり取りする通信データを暗号化して盗聴を防ぐだけでなく、デジタル証明書の技術を組み合わせて実現されており、データの改ざんといった中間者攻撃に有効です。SSLをもとにTLS(Transport Layer Security)が開発された経緯があり、TLSを含めてSSLと呼んだり、SSL/TLSのように併記されることが多くなっています。
現在、TLS 1.3が最新バージョンとなっており、TLS 1.2以降が推奨されています。
WebブラウザとWebサーバー間の通信は、HTTP(Hypertext Transfer Protocol)でやり取りされますが、HTTPでは通信するデータが暗号化されないため、インターネット上にログイン情報や個人情報、決済に必要なクレジットカード情報などをHTTPのまま送信してしまうと悪意ある第三者に盗聴、悪用される恐れがあります。
そのため、SSLを活用してHTTPS通信でデータを保護する必要があるのです。
常時SSL
以前は、個人情報を取り扱う問い合わせフォームや会員ページ、クレジットカードを入力する必要のある決済ページなど、特定のページだけをHTTPSで通信することが多かったのですが、現在は全てのページをHTTPSで通信する常時SSL(Always On SSL)が普及しています。
常時SSLのメリット
次に常時SSLでWebブラウザとWebサーバー間の通信を暗号化することによる、メリットをご紹介します。
セキュリティ対策
常時SSLによって、セキュリティリスクを低減することができます。カフェや空港で利用できるフリーWi-Fiは安全性が低く、暗号化されていないログイン情報などが盗聴され、悪用される場合があります。
通信データの盗聴や改ざんといった中間者攻撃に対して有効です。
Webブラウザでの警告画面の非表示
常時SSLによって、Webブラウザの警告画面の表示を抑止することができます。
Google ChromeやMozilla Firefoxなどの主要ブラウザがHTTP通信(非SSL)のページに対し、「保護されていない通信」や「この接続は安全ではありません」と表示されます。
このようなページを訪れた場合、企業の顔でもあるWebサイトの印象や信頼という点でマイナスイメージを与えてしまいます。
Webサイトの高速化
常時SSLを利用することにより、Webサイトの表示を高速化するHTTP/2やHTTP/3を利用できるようになります。
以前はHTTPS通信は負荷がかかり、通信速度が遅くなるといわれていましたが、現在のネットワークやサーバであれば、体感できる影響はありません。
SEO対策
検索エンジンのGoogleでは、常時SSL化されているWebサイトは信頼できるWebサイトと評価され検索順位で上位に表示されやすくなります。
SSL証明書の種類
SSLに対応するには、WebブラウザとWebサーバ間の通信データを暗号化するための電子証明書であるSSLサーバー証明書が必要になります。
SSLサーバー証明書は、Webサイトの運営者の実在性を確認する認証レベルに応じて3種類があります。
ドメイン認証
ドメイン認証(DV:Domain Validation)は、3種類の中で認証レベルが最も簡易な証明書です。申請者が証明書に記載のあるドメインの使用権を有しているかを確認することで発行されます。証明書に運営組織の記載はありません。
企業認証
企業認証(OV: Organization Validation)は、証明書に記載される組織が実在し、その組織が証明書に記載されるドメインの所有者であることを確認して発行されます。Webサイトの身分証明という点でワンランク上の信頼性があります。
EV認証
EV(Extended Validation)認証は、3種類の中で最も厳格な審査が行われ、認証レベルの高い証明書です。証明書に記載される組織が実在するかの確認だけでなく、組織の所在地や申請者の情報や権限の確認が行われます。
EV認証を導入したWebサイトは、証明書に運営組織が記載されます。
以前、EV認証にはアドレスバーにWebサイトの運営組織が表示されるという大きなメリットがありましたが、Googleによって、アドレスバーの運営組織表示有無による利用者の行動に影響が無いと分析され、Google Chrome 77からアドレスバーに運営組織の表示が行われなくなりました。
現在は、Mozilla Firefox、Microsoft Edgeも同様に表示されなくなっています。
SSLサーバー証明書には、上記の3種類がありますが、HTTPS通信によりWebブラウザとWebサーバー間の通信を保護する役割を果たすという点では同じです。
認証レベルによって証明書を取得するための費用は高くなりますが、その分Webサイトの身分証明、信頼性のレベルも高くなります。
企業の顔となるコーポレートサイトや決裁情報をやり取りするオンラインショッピングのサイトでは「EV認証」、キャンペーンサイトや組織内サイトでは「DV認証」のように用途に合ったSSLサーバー証明書を利用すると良いでしょう。
無料のSSL証明書
無料の証明書として知られるのがISRG(Internet Security Research Group)が運営する「Let's Encrypt」のSSL証明書です。
無料の証明書であっても、暗号化の強度は有料のものと変わりはありませんので、コストを抑えてSSL証明書を導入する場合、選択肢の一つになります。
有料のSSL証明書との主な違いは、証明書の有効期限が挙げられ、有料のSSL証明書の有効期限が1年などに対して「Let's Encrypt」は基本的に90日で有効期限が切れてしまうため、頻繁な更新が必要です。
Webサイト運営者は「Let's Encrypt」などによって無料でSSL証明書が利用できるため、常時SSL化しやすくなりましたが、同様にフィッシングサイトへも簡単にSSL証明書を導入することができるということになります。
常時SSL化によってアドレスバーの鍵マークが表示されていることで安全なサイトであると認識してしまう人もいます。しかし、常時SSL化は、通信データを暗号化して盗聴や改ざんを防ぐ手段であり、フィッシングサイトを見分けるものではないことを理解することが重要です。
常時SSL時代のセキュリティ
ここまでSSLと常時SSLの普及に関する説明をしてきました。Webサイトの運営者、ユーザーにとって非常に良いことであり、今後も当たり前のこととして浸透していくと考えられます。
一方で、暗号化された通信に潜む脅威という点で考慮しなくてはならないことがあります。インターネット上でやり取りされる通信がHTTPからHTTPSへとシフトしたことで、盗聴を防ぐことができるようになりましたが、脅威の監視や検査という点では暗号化によりデータの中身を検査することができないという課題があります。
そのため、WAF(Web Application Firewall)やIPS(Intrusion Prevention System)といったセキュリティ製品の機能を活かすためにHTTPSを復号し、きちんと監視や検査ができるようにシステムを構築する必要があります。
ロードバランサ(負荷分散装置)など、SSLを復号する機能を有する機器を活用し、検査可能なゾーンにWAFやIPSを配置したり、セキュリティ機器やサービスにもSSLサーバー証明書、秘密鍵を設定してHTTPSを復号できるようにします。
なお、Webサーバーのモジュールとして動作するホスト型WAFの場合、SSLの処理はSSLに対応したWebサーバー自身が行うため、HTTP/HTTPS通信を特に意識することなく、脅威の監視・検査を行うことができます。
いかがでしょうか?Webサイトの運営に欠かせないSSLと常時SSL時代のセキュリティ対策について解説しました。
「セキュリティ機器は導入しているけれど、復号できていないためHTTPS通信を検査できない」といったことがないようにシステム構成やセキュリティ機能、設定の見直しに取り組んでみてください。
- カテゴリ:
- 動向
この記事に関する製品のご紹介
ホスト型WAF「SiteGuard Server Edition」
SiteGuard Server Editionは、ウェブサーバーのモジュールとして動作するホスト型WAF製品です。Webサーバー自体にインストールするため、専用ハードウェアが必要ありません。ネットワーク構成を変更せず、できるだけシンプルに導入したいお客様に最適な製品です。
詳細はこちら