Webブラウザの画面上部にはアドレスバーがあります。そこに「http」や「https」からはじまるURLを入力したり、表示されたりしているのを見たことがあるかもしれません。
今回は、「http」や「https」とは何か、その違い、認証方法や暗号化の仕組みについて解説します。
目次
https(SSLサーバー証明書)とは?
運営者の実在性確認
SSL通信データの暗号化
https(SSLサーバー証明書)暗号化通信の仕組み
共通鍵暗号方式の仕組みとは
公開鍵暗号方式の仕組みとは
https(SSLサーバー証明書)の種類
DV:ドメイン認証
OV:企業実在認証
EV:EV認証
httpsとhttpの違い
HTTPとHTTPSの比較表
https(SSLサーバー証明書)の必要性とメリット
https(SSL証明書)の取得までの5つの流れ
Step1:SSLサーバ証明書の選択
Step2:SSLサーバ証明書の申込
Step3:SSLサーバ証明書の審査・認証・証明書の発行
Step4:SSLサーバ証明書をインストール
Step5:内部リンクを確認・動作確認
使えるねっとのhttps(SSL証明書)なら簡単・低価格
私たちがインターネットを介してWebページを閲覧するとき、サーバーとのやり取りがなされ、データが送受信されます。その際、第三者がその内容を盗聴したり、改ざんしたりするリスクが生じます。そこで、SSLを使用してブラウザとサーバー間のやり取りを暗号化する必要があります。SSLとは「Secure Sockets Layer」の略で、インターネット上の通信を暗号化する技術を指します。
SSLを利用することで「SSLサーバー証明書」という電子証明書が発行されます。SSLサーバー証明書には、以下のような2つの機能があります。
SSLサーバー証明書により、サイト運営者のドメイン名や組織の実在性が確認されます。これによりサイトの信頼性を高められますし、「なりすましサイト」にも対応可能です。
前述のとおり、証明書によってサーバーとのやり取りが暗号化されます。こうしておくことで、悪意のある第三者、犯罪者などがクレジットカードや銀行口座の番号、パスワード、住所、電話番号等の個人情報を閲覧したり、盗んだり、改ざんしたりできなくなります。
SSLサーバー証明書を用いたhttps暗号化通信は、以下の2つの暗号方式によって行われます。
共通鍵暗号方式とは、暗号化と復号化に同じ鍵を使用する方式です。データの受信側・送信側が暗号鍵を共有するため、処理が速い点がメリットです。しかし、各通信ごとに毎回共通鍵を配布しなければならず、管理が煩雑になる点はデメリットと言えるかもしれません。
公開鍵暗号方式では、暗号化する際に誰でも取得できる公開された鍵を用います。受信側は暗号化されたデータを別の秘密鍵で復号化します。公開鍵は誰でも取得が可能で管理が容易であることと、秘密鍵を用いる高度なセキュリティが特徴ですが、処理速度が共通鍵暗号方式に比べて遅くなるのがデメリットです。
そのため、両者のメリットを組み合わせた「ハイブリッド方式」を採用しているサイトも増えています。
SSLサーバー証明書には以下の3つの種類があります。暗号化強度は同じですが、信頼性や証明書発行までの時間が異なります。
ドメイン認証(Domain Validated)とは、申請されたドメインの所有者を確認するための証明書です。ただ、ドメインが確認されたといっても、その組織が実在することが証明されるわけではありません。ドメイン認証は3つの証明書の中でも最も低価格、もしくは無料で簡単に申し込み・発行が可能です。
企業実在認証(Organization Validated)では、ドメインだけでなく、組織の法的実在性も確認することができます。そのために政府などが公開しているデータベースが用いられたり、申請者への電話認証が実施されたりします。ドメイン認証よりも高い信頼性を得ることができますが、その分申請費用がかさみますし、発行にも時間がかかります。
EV認証(Extended Validation)では、ドメインの確認、組織の法的実在性だけでなく、物理的実在性の確認も可能です。OVよりもさらに多くの時間と費用がかかりますが、3つの証明書の中で一番高い信頼性を得ることができます。
「http(HyperText Transfer Protocol)」と「https(HyperText Transfer Protocol Secure)」は、インターネットでウェブサイトにアクセスするとき、どんなプロトコル(通信方式)を使うかを表す目印のようなものです。アドレスが「http」から始まっている場合、そのサイトへのアクセスやそのサイトとのデータ通信は、暗号化されずにそのまま実施されます。httpだと、その通信内容を外部の第三者が覗き見ることも難しくありません。
一方アドレスが「https」から始まっている場合は、そのサイトへのアクセスやそのサイトとのデータ通信がSSLによってすべて暗号化され、外部から見えないように保護されます。そのため、その通信の中身が誰かから知らないうちに盗み見られるという心配がないのです。つまりhttpとhttpsの違いとは「データの通信方式の差異」であり、暗号化の有無が異なるというわけです。
httpとhttpsの違いを表にまとめてみましょう。
SSLサーバー証明書の取得によって、タスクバーでのURLやアイコン表示が変化します。サイバー攻撃が増加し、個人情報がこれまで以上に狙われやすくなっている今、httpを維持し続けることにメリットはないといえます。コストがかかるとしても、https化をできるだけ早めに進めると良いでしょう。
「https」を運営するサイトで使用するメリットは、なんと言ってもユーザーのセキュリティが格段に向上することです。たとえばECサイトなら、ユーザーはクレジットカード番号や住所、電話番号などといった個人情報をサイトに保存することになります。その際サイトでhttpを使っていると、そういったデータが誰かに盗まれたり、あるいは改ざんされたりする被害が発生してしまいかねません。httpはデータ通信内容がほとんど丸見えの状態なので、個人情報のやり取りを行うのはとても危険です。
もうひとつのメリットとして、httpsを導入しているとユーザーやお客様に安心してもらえる、という点も挙げられます。人気ブラウザ「Google Chrome」では、httpのサイトにアクセスしたときのアドレスバーに「保護されていない通信」という警告が表示されます。この表示は目立つため、普段セキュリティなどに特段の関心がない人でも、「このサイト危ないのかな……?」と感じてページを閉じてしまうケースが考えられます。ユーザーに安心してログインし、サイトを見てもらう上で、httpsの導入は必須です。
さらに最近、Googleの検索エンジンでも、httpsを導入しているかどうかが重視されるようになってきました。Googleの最新の方針では、https導入済みサイトのほうを優先して検索上位に表示する仕様になっているとのことです。検索順位がひとつ下がるだけでアクセスが一気に落ちることもあるので、これは無視できない風潮だと言えそうです。
また2022年3月にアップデートされたGoogle Chrome100でページを閲覧すると、セキュリティ対策がなされていないページには「保護されていない通信」という警告表示が出ます。これにより、不安を感じるユーザーが増えるとビジネスにも影響が出てしまいます。
それでは「https」を自分のサイトへ導入するにはどうすればいいのでしょうか?
https導入に必要なのが、上述した「SSL証明書」です。SSL証明書とは、サイト運営者の情報と、データ通信の暗号化に使われる鍵、そして発行者の署名が含まれている電子証明書です。このSSL証明書を認証局(ひとつだけではなく、世界に多くの認証局があります)で発行してもらい、それをウェブサイトのサーバーにインストールすれば、httpsの導入が完了します。SSL証明書がないと、サイトのデータ通信をhttpsで暗号化することはできません。
ドメイン認証、企業実在認証、EV認証の3タイプから取得したいSSLサーバ証明書を選択します。どのタイプを選ぶかは利用用途やコスト、取得までの期間などを総合考慮して判断します。
例えば、オンラインショップやネット銀行・ネット証券など高い信頼性が求められるサイトはEV認証が、会社のコーポレートサイトやお問合せなど各種フォームは企業実在認証が適切ですし、メールサーバーやキャンペーンページなどはドメイン認証で十分でしょう。
企業実在認証やEV認証などには登記簿謄本などの書類が必要になります。また、CSR(Certificate Signing Request)、つまりサーバ証明書を発行するための署名要求の提出を行うことで、認証機関が署名をし、サーバ証明書が発行されます。
申込がなされたら認証局によって審査が行なわれます。審査項目は申請した証明書の種類によって異なります。EV認証の審査項目が最も多く、組織の法的存在、物理的存在、事業が存在していること、申請責任者やその者の権限、申込意思の確認などが書類や電話連絡などにより行なわれます。
SSLサーバ証明書が発行されたら、SSLファイルをダウンロードし、それをサーバ上にインストールします。
WebサイトにSSLサーバ証明書が無事に導入された場合、アドレスバーに鍵マークが表示されます。それをクリックし、証明者情報ダイアログを開いて情報を確認しておきましょう。
SSL証明書の取得は、自分だけでやろうとすると大変で、手間も時間もかかってしまいます。そこでおすすめしたいのが、使えるねっとの人気サービス「使えるSSL証明書」です。使えるSSL証明書なら、ドメイン認証の料金5,500円(税込)/年で、スピーディーにSSL証明書発行が可能。また、使えるSSL証明書では認証局として信頼ある大手のSectigo社を採用しているので、ユーザーにハイクオリティなセキュリティと抜群の安心感を提供できます。
お申し込みやご相談などは、ぜひお気軽にこちらのフォームからお問い合わせください。お電話でお問い合わせの場合は、フリーダイヤル0120-961-166まで。平日10時〜17時まで受け付けております。
使えるSSL証明書の詳細はこちら >>
.jpg)
無料通話:0120-961-166
(営業時間:10:00-17:00)
新型コロナウイルスの影響で様々な社会活動がオンラインで行われるようになりましたが、こんなときだからこそ大事なのが情報セキュリティ対策です。特に企業のWebサイトにおいては、「SSL証明書」を導入することが欠かせません。
SSL証明書とは?
SSL証明書は、インターネット上の通信を暗号化し、ユーザーが安全にWebサイトを利用できるようにするための技術です。WebサイトにSSL証明書を導入すると、サーバとユーザーの間のデータ送受信がすべて暗号化されて、外部からの不正アクセスやデータ改ざん、盗聴などが難しくなります。
また、SSL証明書を導入したWebサイトは、アドレスが「http://」ではなく「https://」から始まるように。https化されていないWebサイトにユーザーがアクセスすると、現在ではほとんどの主要ブラウザで「保護されていない通信」などといった警告表示があらわれます。
SSL証明書をTSL1.2に移行することの必要性
このように、今や安心してWebサイトを利用してもらうためにはSSL証明書導入が必須だといえますが、実はただ単にSSL対応すれば良いというものでもありません。SSL(およびその後継のSSL/TLS)は時代に合わせて定期的にバージョンアップを繰り返しているので、なるべく最新のバージョンのSSL証明書でないと、安全性が確保できないのです。
現在では、「SSL/TLS1.2」以降のバージョンを使うことが強く求められています。それ以前のバージョンは重大な脆弱性を抱えているため、せっかく実装してもセキュリティ上の懸念が残ってしまい、おすすめできません。
「使えるSSL証明書」が安心・安全な理由
使えるねっとでは、簡単かつローコストでSSL証明書を導入できるサービス「使えるSSL証明書」を提供しています。使えるSSL証明書なら、最新バージョンのSSL証明書で最高水準のセキュリティを確保できるから安心。使えるねっとならではの充実サポートも好評です。
使えるSSL証明書の詳細はこちら
クラウドVPSとあわせてサイトのセキュリティを万全に
SSL証明書を導入するなら、あわせてWebサイトのサーバもクラウドVPSに移行してみるのはいかがでしょうか?
VPSは、コストと性能のバランスに優れ、事業規模に応じた柔軟なスケールアウトも簡単にできる、今注目のサーバです。使えるねっとが提供する「使えるクラウドVPS」はセキュリティ対策に重点的に力を入れており、Webサイトをこれ以上ないセキュアな環境で運用できます。
さらに今なら、6/30までの期間限定で新サーバお乗り換えキャンペーンを実施中。初回契約分の月額料金がなんと50%OFFになります。ぜひこの機会に、ご検討してみてくださいね。
使えるクラウドVPSの詳細はこちら
2017年5月12日の世界的に大規模なトランスクリプト攻撃により、漠然としていたランサムウェアの脅威がニュースの見出しに取り上げられ、多くのグローバルリーダーのセキュリティ懸念へと変わりました。
米国の国家安全保障局(NATO)から盗まれたいわゆるトランスクリプトの暗号化型ランサムウェア「WannaCry」(WannaCrypt, WannaCryptor, Wcry などと呼ばれる)が、99カ国で拡散しイギリスの病院やスペインの通信事業が被害を受けました。
ランサムウェアとは通常、不注意な電子メールユーザーがリンクをクリックするか、添付ファイルを開くときに、PC、サーバー、またはモバイルデバイスに感染するコンピュータウイルスです。
被害者のファイルを解除することのできない暗号化によりロックし、このような身代金のメモが表示されます。「このオンラインアカウントにビットコインで支払いを行えば(通常数百ドル、場合によっては数千ドル)あなたのファイルを復旧する暗号を受け取ることができます。支払わなければファイルは暗号化されたままの状態か、または削されます。」
(図:IPA(情報処理推進機構) HPより)
このように洗練されたランサムウェアには、他のPCやサーバーに感染を広げるワーム機能というものがあり、新たに感染したマシンがいくつもの新しいターゲットに対して攻撃を開始します。
WannaCryは最近発見されたばかりのサーバーメッセージブロック(Microsoftのファイル共有プロトコル)の脆弱性を悪用したものだったため、多くの企業がまだパッチを当てていませんでした。その脆弱性に、NSAによって開発された耐久性が組み合わされ、ShadowBrokersにより漏洩されることで、WannaCryは24時間以内に世界中に驚異的なスピードで増殖し広がりました。
ランサムウェアから大切なデータを守るために、使えるねっとは早くからランサムウェア対策にデータ保護を推進しています。定期的にバックアップしておくと、ランサムウェアで暗号化されたコンピュータを感染前の状態にすばやく復元できます。そのため身代金を支払う必要はありません。
昨年、企業の47%が少なくとも1件のランサムウェア攻撃を受けました。身代金を支払っても5人の犠牲者のうちの1人は、ファイルを復旧するための暗号を受けることができませんでした。ランサムウェアの脅迫へお金を支払うということは、犯罪者を奨励し、さらにランサムウェアの開発資金を提供するだけです。このため私たちはセキュリティの構築をしない限り、また繰り返し犠牲者になってしまうでしょう。
今回の「WannaCry」による大災害は、以前は無関心だった多くの企業にランサムウェアの脅威を伝えるものになりました。
ITセキュリティ専門家は、以下の多層的なアプローチを推奨しています。
・厳格なバックアップ・セグメントを維持する。
・OSやアプリケーションの既知の脆弱性に徹底的にパッチを当てる。
・ウイルス対策のようなエンドポイントのセキュリティ対策を取り入れ、常に更新を最新の状態に保つ。
・ワーム機能の伝播を防ぐためのWAFとVLANを備えたセグメント型ネットワークを使用する。
・ 迷惑なメールリンクや添付ファイル、ウイルスに感染したWebサイト、悪意のあるオンライン広告、感染したUSBドライブなどの侵入経路に注意を促すようユーザ全員に警告をする。
これらのすべての手順を実行することをおすすめします。
しかし、日々巧妙化するランサムウェアを100% 防ぐことはできないため、大切なビジネスデータを完全に守るにはバックアップしかありません。
「使えるクラウドバックアップ」ならデータとシステムを感染前の状態に復元することで、身代金を支払わなくてもデータを守れます。
PC だけではなく、サーバー、仮想サーバー、OFFICE365のメールもバックアップ可能です。ランサムウェアだけではなく、あらゆるウイルス、盗難、機器の故障や、災害など、ビジネスの継続性を脅かすあらゆる不測の事態からデータを守ります。
この機会に今一度、バックアップを見直してみてはいかがでしょうか?
詳しくはこちらをご覧いただけます。「使えるクラウドバックアップ」
