ホーム > PC-Webzineアーカイブ > デジサート・ジャパンのSSLサーバー証明書でリスク対策を

デジサート・ジャパンのSSLサーバー証明書でリスク対策を

デジサート・ジャパンのSSLサーバー証明書でリスク対策を

2018年12月18日更新

サイバー空間での脅威は有名無名を問わず同様
中小企業も自社運営Webサイトに常時SSL化でリスク対策を

テクノロジーの進化によってさまざまな恩恵が享受できる裏で、悪意のある人や組織も最新テクノロジーを利用しており、サイバー空間における脅威がますます深刻化している。昨今のサイバー犯罪はWebサイトを経由する手口が多く、自社が運営するWebサイトが犯罪に利用されぬためにも、また安全であることを証明するためにも、中小企業であってもSSLサーバー証明書を取得するべきだろう。

URLが「http://」から始まるWebサイトには
Webブラウザーが警告を表示する

 今年7月24日、グーグルは同社のWebブラウザーの新バージョン、通称「Chrome 68」を公開した。Chrome 68では安全ではないと思われるWebサイトにアクセスすると目立つように警告が表示される。具体的にはChrome 68からHTTPサイトへアクセスするとアドレスバーの左側に「保護されていません」と赤字で表示され、その詳細として「このサイトでは機密情報(パスワード、クレジットカードなど)を入力しないでください」という文章から始まる警告文が大きなスペースを使って表示されるのだ。

 Chrome 68の前バージョンでもHTTPサイトにアクセスすると「i」マークが表示され、ここをクリックすると警告文が表示される機能が搭載されていた。しかしChrome 68ではHTTPサイトへのアクセス時に警告文を積極的に明示する仕様に変更しており、クライアントとWebサイトとの通信が暗号化されていないHTTP接続のWebサイトへのアクセスにおける通信内容の盗聴や改ざんといった危険性をユーザーに周知させるとともに、Webサイトの運営者および管理者にWebサイトとクライアントの通信のセキュリティ強化を強く促す意図が見て取れる。

 このようにユーザーがアクセスしているWebサイトとの通信に対してWebブラウザーが積極的に警告を発しなければならないほど、インターネット上での犯罪の被害が深刻化しているのだ。例えば標的型攻撃ではメールにマルウェアを添付する手口に加えて、メールの本文にURLを記載してWebサイトに誘導し、そこでマルウェアに感染させたり、パスワードやクレジットカードの情報、個人情報を入力させたりして情報を盗み出す手口も多い。

 さらに無料で利用できる公衆Wi-Fiの普及が広がっているが、セキュリティ対策が不十分なサービスが多く、通信内容を盗聴されたり改ざんされたりして犯罪に利用される被害が多発している。

 ではこうしたリスクをどのようにして防げばいいのだろうか。デジサート・ジャパンでエンタープライズ営業部 兼 パートナー営業部の部長を務める二宮 要氏は「クライアントとWebサイトの通信を暗号化することと、ユーザーがアクセスしているWebサイトの運営主体が実在していることを証明する必要があります。これらを実現するのがSSLサーバー証明書です」と説明する。

(左)デジサート・ジャパン エンタープライズ営業部 兼 パートナー営業部 部長 二宮 要 氏
(右)デジサート・ジャパン ダイレクト・チャネルマーケティング部 マネージャー 中川就介 氏

SSLサーバー証明書の三つの機能
Facebookも利用するデジサート

 デジサートはSSLサーバー証明書の発行と認証局の提供、これらの利用に伴う各種サービスをグローバルで提供しており、同社のサービスはFacebookをはじめグローバルで決済サービスを提供するPayPal、世界中の誰もが知るECサイトなど世界有数のWebサイトで利用されている。

 SSLサーバー証明書には大きく三つの機能がある。まずWebサイトの運営主体の実在性をインターネット上の認証局を通じて電子証明を発行することで証明し、通信相手の真正性を証明する。さらにWebサーバーやメールサーバーとクライアント(Webブラウザーやメールソフト)の通信を秘匿する暗号機能。そして通信データの改ざんを検知する機能もある。

 例えばネット通販サイトで買い物をする場合、個人情報やクレジットカードの入力が必要となるが、入力した機密情報をWebサイトあるいは相手のメールサーバーに送信する際に通信をSSL/TLSで暗号化して秘匿する。

 ただし通信を暗号化して秘匿しても通信先が正規のWebサイトではなくなりすまし、いわゆるフィッシングサイトであった場合は機密情報が漏えいしてしまう。そこでSSLサーバー証明書では認証局がWebサイトのドメインの所有者情報や電話確認などによって通信相手の真正性を確認して安全性を確保する。

 さらに改ざんの検知ではデータを送信する際は改ざん検知用のデータを生成して原本とともに送信する。受信する際は受信した原本から送信時と同じ手順で改ざん検知用のデータを生成し、受信した改ざん検知用のデータと比較することで改ざんを検知する。

 デジサート・ジャパンのダイレクト・チャネルマーケティング部でマネージャーを務める中川就介氏は「通信を盗聴して情報を盗み出すだけではなく、通信の内容を改ざんしてマルウェアを仕込み仮想通貨のマイニングに加担させるといった犯罪も増加しているため、SSLサーバー証明書による改ざん検知も必須です」と強調する。

Webサイトには常時SSL化が必要
IoTの普及で通信の暗号化がデファクトとなる

 SSLサーバー証明書の認証局やサービスは多数あるが、セキュリティに関する仕組みやサービスであるため認証局やサービスの実績に注目して選ぶべきだろう。

 前述した通りデジサートのSSLサーバー証明書は世界的な企業やWebサイトで利用されている。しかも歴史も長いのだ。Webブラウザーで表示されるベリサインの「ベリサイン セキュアドシール」やシマンテックの「ノートン セキュアドシール」は広く知られているが、これらは同じ系譜をたどることができ、現在はデジサートがノートン セキュアドシールを運営している。

 またデジサートのSSLサーバー証明書には付加価値もある。二宮氏は「デジサートのOV(企業実在性認証)およびEVタイプのSSLサーバー証明書では通信の暗号化と証明機能に加えてセキュリティ機能も提供しています。例えばWebサイトをスキャンしてマルウェアが埋め込まれるよう改ざんされていないかを確認することができます。その際にマルウェアを発見するとノートン セキュアドシールの表示が消え、改ざんの恐れがあることを知らせる仕組みになっています」と説明する。

 さらに中川氏は「常時SSL化」の必要性も強調する。SSLサーバー証明書を利用しているWebサイト、正確にはWebサイトのページは「HTTPS」で通信して安全性が確保されている。例えば冒頭で説明したChrome 68であればHTTPS接続のWebサイトのページにアクセスすると警告が出ないばかりか安全であると表示されるほか、ほかのブラウザーでもHTTPS接続を確認することができる。先に「Webサイトのページ」と言い換えているようにHTTPS化はWebサイトのページ単位で行われる。そのためトップページや個人情報やクレジットカード情報を入力するページのみHTTPS化しているWebサイトが少なくない。

 中川氏は「Webサイトは多くのページで構成されており、かつ各Webページではビーコンなどによって他のサーバーからデータや画像を埋め込んだり読み込んだりする仕組みになっているのが一般的です。そのため改ざんや盗聴を防ぐためには全てのページと埋め込みエレメントをHTTPS化、すなわち常時SSL化しなければ安全とは言えません」と注意を促す。

 さらに二宮氏は「Webサイトには有名無名、規模に関わらず同様のリスクがあります。ですから中小企業であってもごく小規模なWebサイトであっても、また機密情報を扱わないWebサイトであってもSSLサーバー証明書や常時SSL化といったWebサイトのセキュリティ対策は必須です」と強調する。

 最後に中川氏は「常時SSL化やIoTの普及が広がりインターネットに接続される端末やセンサーが激増し、旧来のやり方のままだと証明書の発行や入れ替えなどに伴う業務負担がユーザー様と販売店様の双方で大変になります。ダイワボウ情報システム(DIS)様のサブスクリプション管理システム「iKAZUCHI(雷)」を利用することで証明書の受発注工程の一部を自動化できるためユーザー様はより利用しやすく、販売店様はより販売しやすくなり、ビジネスの拡大、成長につながります」と期待を語った。

キーワードから記事を探す