【技術解説】「常時SSL化（常時HTTPS化）」について＜中級者以上向け＞

はじめに

最近、「常時SSL化（常時HTTPS化）」という言葉を目にすることが多くなってきました。

SSL（HTTPS）というのはインターネット上でデータを暗号化して送受信する仕組みですが、ログインページやクレジットカード決済ページなど、一部のみをHTTPS化するのではなく、Webサイト全体をHTTPS化してセキュリティを向上させることが求められています。

総務省が公表している「地方公共団体における情報セキュリティポリシーに関するガイドライン(平成 30 年 9 月版)」にも「暗号化するのが望ましい」と書かれています。　

インターネットに公開するウェブサイトにおいては、転送される情報の盗聴及び改ざんの防止のため、全ての情報に対する暗号化及び電子証明書による認証の対策を講じることが望ましい。

第3 編 地方公共団体における情報セキュリティポリシー（解説）
　第2 章 情報セキュリティ対策基準（解説）
　　6. 技術的セキュリティ（ⅲ- 88 ページ）

また、Google Chrome などのブラウザでは（SSLで暗号化されていない）「http」のWebサイトを表示するとアドレスバーに警告が表示されます。（下記はGoogle Chromeでの表示例）

今後、このような「常時SSL化（常時HTTPS化）」を推奨する流れはさらに加速していくと思われます。

ここで少し技術に詳しい方なら、一つの疑問が出てきます。

「ログインページやクレジットカード決済ページなら、データを盗み見られないように暗号化が必要なのはわかるけど、なぜ広く一般に公開しているホームページまで暗号化する必要があるのだろう？」

実は、SSLにはデータを暗号化して盗み見られないようにするだけではなく
・改ざん防止
・なりすまし防止
といった目的もあります。

改ざん防止

「改ざんされてはいけないデータを改ざんされないように防止するのは分かるけど、ID／パスワードのような重要データの通信をしているわけでもなく、一般に公開されているホームページで改ざん防止は必要ないのでは？」と思われるかもしれません。

改ざん防止の理解の前に、改ざん行為がどのように行われるのかを理解頂く必要があります。下記の図をご覧ください。

利用者からのホームページのデータ要求に対して、サーバー側はホームページのデータを返しているわけですが、このサーバから利用者に対してホームページのデータを返却する際に攻撃者がデータを書き換えてしまうのです。これが改ざん行為となります。

例えば、どこかのメーカのホームページに載っている商品一覧を参照しているとしましょう。もちろん、そのページを見ている人はその情報が正しいと信じるわけですが、仮に攻撃者がデータを書き換えてしまった場合、利用者は誤った情報を見せられるということになります。商品一覧の情報自体は誰に見られても困る情報ではないですが、書き換えられては困るのです。そのため、改ざん防止が必要になるのです。SSLで通信のデータを暗号化することで改ざん行為も防げるということになります。

なりすまし防止

なりすまし防止は、いわゆる偽サイトを防ぐということですが、なぜSSLを導入することでなりすましが防げるのでしょう？これはSSLの仕組みを詳しく知る必要があるのですが、簡単に言えばSSLの導入に必要となるサーバ証明書によってなりすましも防止できるようになるということです。下記の図をご覧ください。

SSL導入に必要となるサーバ証明書は、認証局という第三者の機関より発行されます。有名どころで言えば、ウィルスソフトで有名なシマンテック社、警備サービスで有名なセコムのグループ会社であるセコムトラストシステムズ社などで、認証局の事業を行っています。
こういった信頼できる認証局からサーバー証明書が発行され、利用者はこのサーバ証明書を確認することで、いま自分が見ているホームページは信頼できるものであると確認できるわけです。

まとめ

インターネットは、いまは生活に欠かせないものとなっていますが、安全に利用するために、セキュリティの知識も学ぶ必要があります。

正しい知識を身につけて、安全安心なインターネットライフが送れるようにしたいですね。