セキュリティ基礎知識

「個人情報の漏えい」、「フィッシング詐欺」などが騒がれ、個人情報保護法の施行以降、個人情報保護に対する意識はますます高まり、SSLが導入されていないとユーザに不安を与えてしまいます。

クレジットカード情報などを入力するオーダーフォームだけでなく、問合せ・資料請求・アンケート・キャンペーンお申し込みなどSSLが必要なページは各種あります。

SSL対応をしていなかったために、お客様がサイトから離れていってしまうといった機会損失は避けなければなりません。

サーバ⇔クライアントPC間でクレジットカード情報などの機密性の高い情報を暗号化し、安全に送受信できるプロトコルです。

SSLプロトコルはTCP層とアプリケーション層の間に位置し、上位の層から 暗号化などセキュリティ対策を施した通信が行えます。

SSLを利用したページでは、URLが「http://」からではなく「https://」から始まります。インターネットエクスプローラを利用した場合、右下に鍵のマークが表示されます。

SSLサーバ証明書には、ウェブサイトの所有者、送信情報の暗号化に必要な鍵など様々な情報が含まれています。それぞれの確認方法をご紹介します。

SSLサーバ証明書とはウェブサイトの所有者の情報、送信情報を暗号化するための鍵、発行者の署名データを持った電子証明書です。

データの送信先を信頼するには、証明書自体が信頼できるものでなければなりません。そこで証明書に信頼性を持たせるために、信頼のできる第三者認証機関から発行された証明書を使用することが必要になります。

認証局（CA：Certification Authority）とは電子証明書の登録、発行、失効をおこなう第三者認証機関です。

認証局が自分自身に対して発行した大元の証明書のことをルート証明書といいます。

代表的なブラウザではWEBTRUSTという厳しい監査基準を満たした認証局のルート証明書をあらかじめ搭載し、ブラウザの利用を通して意識することなく証明書の信頼性を確認できるようにしています。

信頼性のない（ブラウザにルート証明書がプレインストールされていない）証明書では、ブラウザからセキュリティ警告が発せられます。

Public Key Infrastructureの略で、公開鍵と秘密鍵のキーペアからなる公開鍵暗号方式という技術を利用したセキュリティのシステムのことです。

公開鍵と秘密鍵の違いは、公開鍵は広く一般に配布することを目的としているのに対し、秘密鍵は所持者が厳重に管理する必要があります。

SSL暗号化通信は、クライアント側が共有鍵を使って暗号化したデータをサーバ側に送りサーバ側は事前にクライアント側から送られた共有鍵を使ってデータを復号化します。公開鍵、秘密鍵はクライアント・サーバ間で事前に共有鍵を安全に授受するために使用されます。

電子証明書を使用した署名のことで、実社会でのサインや印鑑に相当します。

公開鍵暗号基盤（PKI）を利用して、署名者の特定と改ざん検知を行うことができます。