コラム

SSL/TLS暗号化で守るインターネット通信。概要や仕組みとは?

作成者: EAGLYS株式会社|Feb 21, 2022 3:00:00 PM

さまざまなビジネスがインターネットと深く関連しながら成り立つ今日。便利さが広がった反面、インターネット上でやりとりされる情報の漏えい、改ざんなどの危険性も高まっています。企業は重要なデータを守るためにも、これらのリスクに目を向け、セキュリティ対策のレベルを高めなければなりません。

今回は、インターネット上でデータを守るために必要不可欠な暗号化の仕組み「SSL/TLS」について、仕組みや役割、導入方法について詳しく解説します。またSSL/TLSの脆弱性と企業がとるべき対策についてもご紹介します。

SSL/TLSとは

SSL(Secure Sockets Layer)/TLS(Transport Layer Security)とは、インターネット上でデータを安全に送受信するために暗号化する仕組みのことです。

SSL/TLSは、閲覧しているWebサイトが安全に運用されているかを証明する仕組みで、個人情報の盗聴や、送受信される情報の改ざんを防ぐための手段として多くのWebサイトで採用されています。いまやSSL/TLSは、情報とユーザーを守るために欠かせないセキュリティ対策の一つとなっています。

SSL/TLSの必要性


日々膨大なデータがやりとりされるインターネット上には、情報漏えいや改ざんといった危険性があります。例えば、社外秘の機密データが第三者によって不正に取得され、顧客に被害を与えてしまい企業としての信頼を失ったり、架空の企業が運営するWebサイトにクレジットカード情報を入力してしまい、見覚えのない請求が届いたり。

こうした情報漏えいや改ざん、なりすましを防ぐために、SSL/TLSでWebサイトの通信が暗号化されているかを証明しています。

SSL/TLSの仕組みと役割


一般的に、暗号化通信は「共通鍵暗号方式」と「公開鍵暗号方式」の2種類があり、SSL/TLSは、これら2つを組み合わせた「ハイブリッド暗号方式」が使われています。

  1. 受信者(サーバー)は送信者(ブラウザ)に「公開鍵」と「SSLサーバー証明書」を発行し、送付する
  2. 送信者は「公開鍵」を使って「共通鍵」を暗号化する
  3. 送信者は受信者へ暗号化した「共通鍵」を送付する
  4. 受信者は受け取った「共通鍵」を「秘密鍵」で復号する
  5. 受信者と送信者は「共通鍵」を使ってデータを暗号化し、復号する

「SSLサーバー証明書」は、暗号化通信で使われている公開鍵が、そもそも正しい鍵かを証明するために使用されます。

この証明書は、「認証局」と呼ばれる第三者機関が発行するもので、認証レベルに応じて「ドメイン所持者が実在するか」「通信に使われる鍵は正しいものか」「このサーバーは信頼できるか」などを証明します。

暗号化通信とサーバー証明書という仕組みによってサイトの信頼性を高め、悪意のある第三者によるなりすましを防止しています。

SSLとTLSの違い


暗号化通信の仕組みを指す際、「SSL」もしくは「SSL/TLS」など複数の名称が使われていますが、SSLは使用される中で脆弱性が見つかり、根本から設計を見直した次世代規格としてTLSが生まれたという背景があります。

そのため、現在ではもともとのSSLの利用は非推奨となり、一般に利用される規格はTLSに置き換わりました。しかし、はじめに普及したSSLという名称が広く認知されていることから「SSL」「SSL/TLS」と表現されています。

SSL/TLSの導入と確認の方法

続いて、SSL/TLSの導入方法と導入を確認する方法を解説します。

SSL/TLSの種類


SSL/TLSの導入を進めるにあたり、まずはSSLサーバー証明書の種類を選びます。認証のレベルによって種類が異なるため、各レベルの概要をご紹介します。

  • DV認証:ドメイン名の利用権を認証する形式。企業や組織だけでなく個人利用も可能です。ドメインの利用権のみを認証するため比較的安価に認証できることから、利用者が限られる社内サーバーやメールサーバー、個人情報入力フォームが含まれないページなどに適しています。
  • OV認証:ドメイン名の利用権にくわえてWebサイトの運営組織が法的に実在することを証明する形式。第三者機関が提供するデータベースや電話などをもとに審査するため、信頼性が高いことが特徴です。個人による認証の取得はできず、主に法人のコーポレートサイトやお問い合わせフォームを含むページ、ログインが必要なwebサービスなどに適しています。
  • EV認証:ドメイン名の利用権、サイト運営組織の実在証明にくわえて「運営組織が信頼できること」を証明する形式。審査は厳格で、OV認証での審査方法に加え登記事項証などの確認も行われます。EV認証はSSL証明書の中で最も信頼性が高く、氏名や住所、クレジットカード・銀行口座情報など機密情報を取り扱うECサイトや金融機関のサイトなどに適しています。

SSL/TLSの選び方


SSLサーバー証明書は種類によって認証のレベルが異なるため、導入目的に応じて適切なものを選択しましょう。

情報発信のみで取得は行わない場合、社内向けなど利用者が限られる場合


ユーザーからの情報入力を必要としない情報発信がメインのサイトの場合は、DV認証が採用されるケースがあります。しかし、DV認証は取得が比較的容易なため、通信の暗号化はできてもなりすましの防止には向かないことに注意しましょう。

お問い合わせフォームを含むコーポレートサイトなどに導入する場合


情報発信以外に、お問い合わせフォームなどユーザーからの情報入力を必要とする場合は、なりすましなどを防ぐためにもOV認証を選びましょう。ただし、フォームの入力項目に個人情報が多く含まれる場合は、OV認証では不十分な場合があるため、可能であればEV認証の取得も検討すると良いでしょう。

ECサイトや会員登録制サービスなど多くの重要な個人情報を取り扱う場合


ユーザーの氏名や住所などの個人情報だけでなくクレジットカード番号のような機密情報を取り扱う場合は、EV認証を取得しましょう。認証費用はOV認証と比較して高額ですが、企業の信頼性を担保するためにも、EV認証の取得が望ましいです。

このように、サイトやサービスの内容、取り扱う個人情報の割合などをもとに、必要な認証レベルを考えます。また認証レベルによって費用も異なるため、認証内容とコストのバランスを見比べながら、自社に最適なものを選びましょう。

SSL/TLSの導入の流れ


SSL/TLSの導入方法はサーバー提供者によって異なりますが、一般的には次のような流れで進みます。

  1. SSLサーバー証明書の発行を受けるために必要な申請書「署名リクエスト(CSR:Certificate Signing Request)」を作成する。
  2. 認証局の申請サイトで申し込みフォームに必要情報を入力し、CSRを提出する。登記簿謄本や印鑑証明書など、必要書類があれば認証局に送付する。(※)
  3. 審査を通過し証明書発行のメールを受信したら、証明書をダウンロードする。
  4. 証明書をサーバー上に保存し、インストールを行う。

(※)必要となる情報や書類は、認証レベルによって異なります。

SSL/TLSの確認方法


証明書をインストールしSSL化が完了すると、サイトのアドレスバーに鍵のマークが表示され、URLの先頭が「http」→「https」に変化します。この2点が確認できれば、SSL/TLSによる安全な通信が行われているとわかります。

SSL/TLSの脆弱性と対策

インターネット上の通信を安全に行うために必要なSSL/TLSですが、セキュリティ対策において万能な仕組みとまではいえません。このセクションでは、SSL/TLSの脆弱性と対策について解説します。

SSL/TLSの脆弱性


SSL/TLSによる暗号化通信では、個人情報や企業の機密情報など重要なデータがやりとりされるため、悪意のある攻撃の標的になりやすい側面も。過去にさまざまな脆弱性が指摘されており、そのたびに対応策が講じられています。

2014年10月に公表された「POODLE」


POODLEとは、SSL3.0に深刻な脆弱性が存在するとして、2014年10月にGoogle社の研究者らによって公表されました。POODLEは「Padding Oracle On Downgraded Legacy Encryption」の頭文字で、攻撃によってブラウザ・サーバー間でやりとりされるデータのうち、クッキーなどに保存された情報が一部解読される恐れがあると指摘されました。

※参考:This POODLE Bites: Exploiting TheSSL 3.0 Fallback

SSL3.0に脆弱性が見つかったことで、SSLによる暗号化通信は非推奨となり、現在では最新のTLSが利用されています。

2021年8月に公表された「OpenSSL」の脆弱性


通常、インターネット上の通信をSSLによって暗号化することで、個人情報や機密情報を送信しています。しかし、この仕組みをWebサービスに組み込む際に使われるOpenSSLには、脆弱性が報告されています。攻撃者がサーバーへ特殊な通信を送信することで暗号処理中のデータが閲覧される可能性が見つかりました。現在では新たなバージョンのOpenSSLが公開され、各組織では新バージョンについてテストの実施〜適用が進められています。

※参考:JPCERT/CC「OpenSSLの脆弱性(CVE-2021-3711、CVE-2021-3712)に関する注意喚起」

企業の対応


これらの脆弱性に対応するために、現在もSSL/TLS通信はバージョンアップされているものの、セキュリティ対策において絶対に情報漏えい・改ざんが起きないとは断言できません。そのため、常に対策を維持・向上させることが重要です。

暗号化ライブラリなどは常に最新版へアップデート


OpenSSLなどの暗号化ライブラリや暗号化通信を行う環境は、常に最新版にアップデートし、その都度動作確認を行って安全な通信が行われるよう管理することが重要です。また暗号化通信が意味を発揮するよう、証明書の秘密鍵の管理を徹底するなどサーバー運用との両立も重要なポイントです。

常に最新の脆弱性情報・セキュリティ対策情報をチェック


これまでたびたびSSL/TLSに脆弱性が見つかり改良が繰り返されてきたように、今後も新たな脆弱性が判明することを想定し、常に最新の脆弱性情報やセキュリティ対策情報をチェックすることも重要です。

こうした情報を確認する際には、情報処理推進機構などが提供する一次情報にアクセスし、「正確な情報」を確認しましょう。

まとめ

SSL/TLSとは、インターネット上でデータを暗号化して送受信する仕組みのこと。情報の安全なやりとりを実現するために広く利用される反面、重要なデータが飛び交う性質を逆手にとった悪意のある攻撃が発生しているのも事実です。企業はSSL/TLSを導入してデータや利害関係者を守るとともに、万が一のリスクに備える対応が求められています。

まずは自社で「SSL/TLSが導入されているか」「SSL/TLSのみに頼らないセキュリティ対策やガバナンスが行われているか」を確認してみましょう。またセキュリティリスクは暗号化通信だけではありません。データベース暗号化やデータ連携時など、全社的なセキュリティ意識を高めることが求められています。

EAGLYSでは、データベース暗号化ソフトウェアの「DataArmor Gate DB」をはじめ、秘密計算ソリューションを開発提供し、ユーザーニーズに最適な提案をおこなっています。

デモンストレーションやデータ秘匿性担保とデータ利活用の両立についてのディスカッションから対応していますので、お気軽にご相談ください。