常時SSL化ってなぜ必要なの?

by sitemaster投稿日: カテゴリー: セキュリティ
LINEで送る
このエントリーをはてなブックマークに追加
LinkedIn にシェア
Pocket

2018年からChromeでSSL化されていないWebサイトは警告が表示されるようになりました。SSL化のことは知っていても、なぜ常時SSL化が必要となったかまでわからないことが多いと思います。

ここではSEを生業として見た常時SSL化の必要性と、SSLがあるとどこまでできるかを考えてみたいと思います。併せて簡単ですが、常時SSLが必要となった背景とインターネットの危険性について紹介したいと思います。

SSLで実現できること

WebサイトがSSL化していると次の3点が可能となります。

  1. 第三者からWebサイトの正当性を証明できる。
  2. 通信内容を他の端末でわからないように暗号化できる
  3. 通信内容を途中で書き換えられたことを検知できる

3つ挙げていますが、常時SSL化が取り上げられた理由は1のWebサイトの正当性を証明できるがすべてです。このWebサイトの正当性を証明する証明書のことを「サーバ証明書」「SSLサーバ証明書」単に「証明書」と言います。

なぜWebサイトの正当性を証明する必要があるのか? これはフィッシングサイトを撲滅するためです。今まではWebサイトの正当性を証明できなかったから、フィッシングサイトから金目の情報を取ることができていました。でも、常時SSL化することにより正当なWebサイトかどうか常に確認することができるようになったのです。

Webサイトの正当性を証明する方法

このWebサイトをChromeでアクセスすると下の図の①付近のように鍵マークが付きます。鍵マークをクリック(①)して証明書のパスを見ていく(②③)と、④のようにサーバ証明書が上から繋がっているのがわかります。

SSLの証明書パスのたどり方

上の図の④のように証明書が繋がっていることが大事で、一番下の証明書がこのWebサイトを証明する身分証明書です。身近なものでいうと運転免許証やマイナンバーカードにあたります

運転免許証やマイナンバーカードは、それぞれ公安委員会や市区町村長が発行元でお墨付きを与えます。同じようにWebサイトの証明書もお墨付きをもらいます。お墨付きを与えるのが一番上にある証明書でルート証明書と呼ばれます。この繋がったSSL証明書は証明書のチェーン(鎖)と言います。

サーバ証明書がどこから発行され、ブラウザまで受け取る流れを下の図に示します。私たちが、Webサイトを閲覧する前にWebサーバの管理者が認証局からサーバ証明書を発行してWebサイトを開設しておきます(下図左上)。Webサイトができあがったら、①ブラウザを使ってWebサイトにアクセスすると、②Webサーバから証明書を受け取り、③証明書の内容を確認します。

SSLサーバ証明書の発行からブラウザまで受け取る流れ

すべてが正常な場合は警告無く接続ができます。

証明書に問題がある時の確認ポイント

今度は証明書に問題がある場合の表示例を見ていきます。問題がある点は、今まで説明したものを満たしていない場合で、次の3点です。

  1. 証明書のWebサイト名が違っている
  2. 証明書のチェーンが繋がっていない
  3. 有効期限が切れている

例えば、自宅にあるNASの管理Webサイトは下のようになります。①のURLでエラーが出ています。クリックして証明書を確認します。②無効となっている証明書をクリックすると証明書の全般画面が出ます。③証明書のパスを見てみると、証明書チェーンが無いことがわかります。

証明書エラーの例

常時SSLが無いとこのようなチェック機能は全く働かないので、フィッシングサイトを回避するためにWebサイトの安全性を確認するには良い対策だと思います。なお、このサイトは私自身が設置したNASで192.168.0.210のIPアドレスも割り当てていますので、間違いないことは把握済みです。

常時SSLに関する疑問

常時SSL化していないWebサイトは大丈夫か?

そのWebサイトにIDやパスワード、個人情報などを提供する必要が無いなら問題は無いです。SSL化するにはそれなりの費用と準備が必要となりますので、準備中の可能性もあります。

常時SSL化していれば安全か?

ブラウザで警告が出ると「フィッシングサイトかも」と疑いを持つことになりますが、最後は使う人次第です。使う人が情報を渡してしまうとせっかくの警告も意味がありません。

警告が出たら納得できるまで確認して、警告が出るようなWebサイトに情報を入力しない方が安全です。事情があって警告が出ていることを理解しているならば大丈夫だと思いますが、ほとんどの人はWebサイトの運用にかかわらないため、その状況はあまりないと思います。

名前が違っていても警告が出ない場合がある

この場合はワイルドカード証明書と言います。例えば、web01.singomemo.comやweb02.singomemo.com、site.singomemo.comの3つの Webサイトがある場合に3つの証明書を用意するより、1つの証明書で3Webサイト分用意するのが楽という考え方です。この場合ワイルドカード証明書のWebサイト名は「*.singomemo.com」となります。アスタリスク「*」がweb01,web02,siteに適合するように考えてあります。

今は3つのWebサイトで例を出しましたが、10サイト、20サイトとなると1種類でまとめた方が楽というのもわかっていただけると思います。

インターネットの安全性

インターネットは各々のネットワークがつないで出来上がっています。インターネットの中には警察などの取り締まる組織はいません。金銭的犯罪があれば日本の警察は動きますが、海外に犯人が居るとなかなか逮捕できない場合があります。インターネットに国境が無いため、容易にインターネットを経由して入り込むことができるからです。

インターネットは秩序を維持する組織が無いので、自由すぎる点が課題です。そのため犯罪者も入りやすく、金目の情報を渡さないように利用者自身が気を付ける必要があります。

今回のブラウザの警告だけですべての情報漏洩を防ぐことはできません。インターネットは自由で危険と隣り合わせである認識を持って注意して利用すると便利に使うことができるはずです。

ブラウザの対策だけで安心か?

ブラウザはフィッシングサイトの警告を出すようになりましたが、そもそもパソコンやタブレット、スマートフォンにウィルスが入り込むと情報は簡単に漏洩します。

実際に警視庁が公開しているデータを見ると毎年標的型メール攻撃の件数が増えています。標的型メール攻撃は、特定の会社や個人を標的としてウィルス感染やフィッシングサイトへ誘導するためのメールによる攻撃のことを言います。

標的型メール攻撃の件数
出典:「 令和元年上半期におけるサイバー空間をめぐる脅威の情勢等について 」(警察庁)( https://www.npa.go.jp/publications/statistics/cybersecurity/data/R01_kami_cyber_jousei.pdf )

標的型メール攻撃は日々進歩しており、だれしもが引っかかるあ脳性があります。基本的にメールは疑ってかかるのが正しい対処方法です。お互いに注意しましょう。

LINEで送る
このエントリーをはてなブックマークに追加
LinkedIn にシェア
Pocket

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です