目次
さまざまなビジネスがインターネットと深く関連しながら成り立つ今日。便利さが広がった反面、インターネット上でやりとりされる情報の漏えい、改ざんなどの危険性も高まっています。企業は重要なデータを守るためにも、これらのリスクに目を向け、セキュリティ対策のレベルを高めなければなりません。
今回は、インターネット上でデータを守るために必要不可欠な暗号化の仕組み「SSL/TLS」について、仕組みや役割、導入方法について詳しく解説します。またSSL/TLSの脆弱性と企業がとるべき対策についてもご紹介します。
SSL(Secure Sockets Layer)/TLS(Transport Layer Security)とは、インターネット上でデータを安全に送受信するために暗号化する仕組みのことです。
SSL/TLSは、閲覧しているWebサイトが安全に運用されているかを証明する仕組みで、個人情報の盗聴や、送受信される情報の改ざんを防ぐための手段として多くのWebサイトで採用されています。いまやSSL/TLSは、情報とユーザーを守るために欠かせないセキュリティ対策の一つとなっています。
日々膨大なデータがやりとりされるインターネット上には、情報漏えいや改ざんといった危険性があります。例えば、社外秘の機密データが第三者によって不正に取得され、顧客に被害を与えてしまい企業としての信頼を失ったり、架空の企業が運営するWebサイトにクレジットカード情報を入力してしまい、見覚えのない請求が届いたり。
こうした情報漏えいや改ざん、なりすましを防ぐために、SSL/TLSでWebサイトの通信が暗号化されているかを証明しています。
一般的に、暗号化通信は「共通鍵暗号方式」と「公開鍵暗号方式」の2種類があり、SSL/TLSは、これら2つを組み合わせた「ハイブリッド暗号方式」が使われています。
「SSLサーバー証明書」は、暗号化通信で使われている公開鍵が、そもそも正しい鍵かを証明するために使用されます。
この証明書は、「認証局」と呼ばれる第三者機関が発行するもので、認証レベルに応じて「ドメイン所持者が実在するか」「通信に使われる鍵は正しいものか」「このサーバーは信頼できるか」などを証明します。
暗号化通信とサーバー証明書という仕組みによってサイトの信頼性を高め、悪意のある第三者によるなりすましを防止しています。
暗号化通信の仕組みを指す際、「SSL」もしくは「SSL/TLS」など複数の名称が使われていますが、SSLは使用される中で脆弱性が見つかり、根本から設計を見直した次世代規格としてTLSが生まれたという背景があります。
そのため、現在ではもともとのSSLの利用は非推奨となり、一般に利用される規格はTLSに置き換わりました。しかし、はじめに普及したSSLという名称が広く認知されていることから「SSL」「SSL/TLS」と表現されています。
続いて、SSL/TLSの導入方法と導入を確認する方法を解説します。
SSL/TLSの導入を進めるにあたり、まずはSSLサーバー証明書の種類を選びます。認証のレベルによって種類が異なるため、各レベルの概要をご紹介します。
SSLサーバー証明書は種類によって認証のレベルが異なるため、導入目的に応じて適切なものを選択しましょう。
ユーザーからの情報入力を必要としない情報発信がメインのサイトの場合は、DV認証が採用されるケースがあります。しかし、DV認証は取得が比較的容易なため、通信の暗号化はできてもなりすましの防止には向かないことに注意しましょう。
情報発信以外に、お問い合わせフォームなどユーザーからの情報入力を必要とする場合は、なりすましなどを防ぐためにもOV認証を選びましょう。ただし、フォームの入力項目に個人情報が多く含まれる場合は、OV認証では不十分な場合があるため、可能であればEV認証の取得も検討すると良いでしょう。
ユーザーの氏名や住所などの個人情報だけでなくクレジットカード番号のような機密情報を取り扱う場合は、EV認証を取得しましょう。認証費用はOV認証と比較して高額ですが、企業の信頼性を担保するためにも、EV認証の取得が望ましいです。
このように、サイトやサービスの内容、取り扱う個人情報の割合などをもとに、必要な認証レベルを考えます。また認証レベルによって費用も異なるため、認証内容とコストのバランスを見比べながら、自社に最適なものを選びましょう。
SSL/TLSの導入方法はサーバー提供者によって異なりますが、一般的には次のような流れで進みます。
(※)必要となる情報や書類は、認証レベルによって異なります。
証明書をインストールしSSL化が完了すると、サイトのアドレスバーに鍵のマークが表示され、URLの先頭が「http」→「https」に変化します。この2点が確認できれば、SSL/TLSによる安全な通信が行われているとわかります。
インターネット上の通信を安全に行うために必要なSSL/TLSですが、セキュリティ対策において万能な仕組みとまではいえません。このセクションでは、SSL/TLSの脆弱性と対策について解説します。
SSL/TLSによる暗号化通信では、個人情報や企業の機密情報など重要なデータがやりとりされるため、悪意のある攻撃の標的になりやすい側面も。過去にさまざまな脆弱性が指摘されており、そのたびに対応策が講じられています。
POODLEとは、SSL3.0に深刻な脆弱性が存在するとして、2014年10月にGoogle社の研究者らによって公表されました。POODLEは「Padding Oracle On Downgraded Legacy Encryption」の頭文字で、攻撃によってブラウザ・サーバー間でやりとりされるデータのうち、クッキーなどに保存された情報が一部解読される恐れがあると指摘されました。
※参考:This POODLE Bites: Exploiting TheSSL 3.0 Fallback
SSL3.0に脆弱性が見つかったことで、SSLによる暗号化通信は非推奨となり、現在では最新のTLSが利用されています。
通常、インターネット上の通信をSSLによって暗号化することで、個人情報や機密情報を送信しています。しかし、この仕組みをWebサービスに組み込む際に使われるOpenSSLには、脆弱性が報告されています。攻撃者がサーバーへ特殊な通信を送信することで暗号処理中のデータが閲覧される可能性が見つかりました。現在では新たなバージョンのOpenSSLが公開され、各組織では新バージョンについてテストの実施〜適用が進められています。
※参考:JPCERT/CC「OpenSSLの脆弱性(CVE-2021-3711、CVE-2021-3712)に関する注意喚起」
これらの脆弱性に対応するために、現在もSSL/TLS通信はバージョンアップされているものの、セキュリティ対策において絶対に情報漏えい・改ざんが起きないとは断言できません。そのため、常に対策を維持・向上させることが重要です。
OpenSSLなどの暗号化ライブラリや暗号化通信を行う環境は、常に最新版にアップデートし、その都度動作確認を行って安全な通信が行われるよう管理することが重要です。また暗号化通信が意味を発揮するよう、証明書の秘密鍵の管理を徹底するなどサーバー運用との両立も重要なポイントです。
これまでたびたびSSL/TLSに脆弱性が見つかり改良が繰り返されてきたように、今後も新たな脆弱性が判明することを想定し、常に最新の脆弱性情報やセキュリティ対策情報をチェックすることも重要です。
こうした情報を確認する際には、情報処理推進機構などが提供する一次情報にアクセスし、「正確な情報」を確認しましょう。
SSL/TLSとは、インターネット上でデータを暗号化して送受信する仕組みのこと。情報の安全なやりとりを実現するために広く利用される反面、重要なデータが飛び交う性質を逆手にとった悪意のある攻撃が発生しているのも事実です。企業はSSL/TLSを導入してデータや利害関係者を守るとともに、万が一のリスクに備える対応が求められています。
まずは自社で「SSL/TLSが導入されているか」「SSL/TLSのみに頼らないセキュリティ対策やガバナンスが行われているか」を確認してみましょう。またセキュリティリスクは暗号化通信だけではありません。データベース暗号化やデータ連携時など、全社的なセキュリティ意識を高めることが求められています。
EAGLYSでは、データベース暗号化ソフトウェアの「DataArmor Gate DB」をはじめ、秘密計算ソリューションを開発提供し、ユーザーニーズに最適な提案をおこなっています。
デモンストレーションやデータ秘匿性担保とデータ利活用の両立についてのディスカッションから対応していますので、お気軽にご相談ください。