Webのセキュリティと認証④

インターネットで公開されるシステムは「通信の盗聴」や「不法侵入」のリスクを常に考慮しておく必要があります。その対策となるのが暗号化です。

暗号化とは、元のデータ（平文）を暗号化アルゴリズムで第三者が読み取れないデータにすることのことです。なお、受け取った暗号文を利用するために平文に戻すことを復号と言います。

暗号化にはいろんな方法があります。

通信経路での暗号化

ユーザーとデータをやり取りする際、通信を盗聴されるとパスワードやクレジットカード情報のような機密情報が簡単に漏れてしまいます。そこで通信経路自体を暗号化します。すると、第三者が通信を盗聴しても内容を読み取ることができず、被害を防ぐことができます。

保存データでの暗号化

攻撃者がサーバーに不正侵入すると、その情報を簡単に取得できてしまいます。そこで、機密性の高いデータはサーバー内に保存する際に暗号化すると安全です。具体的には、Webアプリケーションがデータを保存する際に暗号かしておき、使う時はデータを復号してから利用します。

また、ハッシュ化しておくことも効果的です。

ハッシュ化とは、ハッシュ関数と呼ばれる計算式を使って任意の長さに文字列を変換することのことです。同じハッシュ値を持つ別のデータを生成することは極めて難しいため、認証の際には送信されたパスワードのハッシュ値と保存されているハッシュ値を比較することでパスワードが正しいかを判定できます。

今日もWebのセキュリティについて書いてみました。このシリーズは明日で最後になりそうです！