IT セキュリティ基礎知識シリーズ

第1回　安全なインターネット利用のカギーSSL

｢淘宝(Tao Bao)｣や｢Amazon.com」など、私たちの生活に浸透しているネット金融取引やショツピング。でも、｢振込め詐欺だったらどうしよう｣｢このサイト大丈夫?｣｢情報を盗まれている可能性はない?｣と不安な人もいらっしゃるでしょう。シリーズ第１回では、SSLの仕組みを通したセキュリティ確保の仕組みや要素技術をご紹介して参ります。

SSLによる安全性の確保

ネットを使った個人情報の提供やお金の取引には多くのリスクを含んでいます。主だったものとして、他の誰かが「成りすまし」ていないか（本人性）、送信した内容（デー夕や添付ファイル）が途中で内容を変えられたりしていないか（真正性）、個人情報やビジネス情報といったデー夕が見られていないか（機密性）等の問題があります。

これらの解決のために、現在、広く用いられているのが、SSL（Secure Socket Layer）といわれる通信規約（プロトコル）です。

IE（lnetrnet Explorer）などのブラウザでインターネットを利用する場合、https://www.XXX.co.jpというように先頭を「https://」と指定して、その名前のサイトが存在すれば、SSLによる通信が始まります。

接続先のサーバについてSSLでは、（誰を信じるかによりますが）その提供サイトの本人性を確認することができます。また、その通信について、すべての電文が暗号化され、機密性が保たれるとともに真正性も保証されます。

SSLの仕組み～どんな動きをしているのか

ご存知の方も多いと思いますが、ここで改めてSSLの仕組みをご説明することで、インターネットの世界でのセキュリティ確保の仕組みや要素技術をご紹介して参ります。

①最初に、クライアント（パソコン）のブラウザから、SSLによる接続要求をおこないます。ブラウザの接続先のアドレス（URL）に、https://で始まるURLを入力するか、あるいは、ブラウザで表示中のホームページの案内に従って、飛び先リンクをクリックしたりした際に、接続の要求が行われます。ここで注意しなければならないのは、飛び先のリンクが指定されているからといって、簡単に信用してはならないということです。とんでもないサイトに誘導する手口も横行しています。

②その指定されたアドレスに該当するサイトがある場合には、そのサイトから、「サーバ証明書」（InterNet Explorerでは、セキュリティ証明書とよんでいます）が自動的にダウンロードされます。

サーバ証明書は、一般には、「認証局（Certification Authority）」（※1）といわれる専門機関から、そのサイトに対して安全に提供され、サーバにセットされています。

（図1-1）このような、通知がされた場合には、よほどの確認がない限り、先に進めてはなりません。

ブラウザは、そのサーバ証明書が、本当にその「認証局」から、発行されたものかどうかを確認します（※2）。そして、確かにその「認証局」から発行されたものであれば、通信を続行します。サーバ証明書が、その「認証局」から発行されたものかどうか確認できない場合や、「認証局」そのものが信用できない場合、あるいは、証明書そのものに不備がある場合には、ブラウザが利用者に通知します。（図1-1）

（図1-2）サーバ証明書に問題がなくSSL通信が開始状態となっている例

③ブラウザは、確認できた場合に通信を続行しますが、その場合、ブラウザで発生させた暗号鍵をもちいて、電文を暗号化して通信を行います。サーバも同じ鍵を使用して暗号化してクライアントに送信します。暗号化自身は、共通鍵暗号がもちいられますが、共通鍵のサーバヘ受け渡しには、公開鍵暗号（※3）を用います。暗号の鍵は、サーバとの通信のたびに新しく作られます。

④暗号化された通信の状態になると、ブラウザの鍵マークが施錠された状態になります（図1-2）。

（図1-3）鍵がかかったマークのでないWebサイトで、個人情報や金銭の借貸にかかわる操作をおこなっては、絶対にいけません。

この鍵マークをクリックすると、サーバ証明書の状態が表示されます。特に発行先の名前がサイトの名前と同じであること、および、「証明書のパス」がきちんとチェーンになっていることを特にはじめてアクセスするサイトにおいては、確認してください。（図1-3）

（※1）認証局は、証明機関ともよばれます。民間のものがほとんどですが、日本には、政府認証機関、公的個人認証機関など公的なものもあります。

（※2）確認には、「電子署名」技術が用いられています。電子署名については、次回、ご説明します。

（※3）共通鍵暗号およぴ公開鍵暗号については、次回ご説明します。

SSL活用によるシステム構築

SSLはビジネスービジネス（BtoB）、すなわち会社間の取引とか製造会社と販売会社とのやり取りでも必要なプロトコルです。

たとえば、販売統括会社とディーラとの間の受発注、百貨店と納入業者との間の注文、納品などインターネットを使用しておこなう場合もSSLを活用することは有効です。なぜなら、企業の取引において、その注文が信用できなかったり、違う相手先に情報を流したり、注文が届かなかったりするのは、致命傷になりうるからです。

また、取引先からの信頼を得るためにSSLを使用したサイトの立ち上げはいまや「常識化」しています。相手先を限定してVPNを使用して、あらかじめ、決められた相手との通信のみを行うことも考えられますが、複数のサイトを運用することは費用的にも負担がかさむだけでなく、せっかくのインターネット環境（Any-Any）を物理的に制限することになってしまいます。インターネットの利点を生かして広く一般情報を開示し、実ビジネスを実施していくためにも、SSLを活用したサイト、システムの構築を検討してみてはいかがでしょうか。

SSL通信の概要

「弱点」の存在にも十分な配慮を

なお、これまで説明してきたサーバ認証のほかにも、SSLにはクライアント認証というプロトコルも用意されています。ただ、これには利用者が自分の証明書と用意する必要があるなど面倒なことも多く、特殊な場合を除いて一般にはあまり普及していません。利用者を限定するためには、ユーザID／パスワードなどの仕組みを持つ必要がでてくるとともに、これらの安全な発行と引渡しが重要になります。

実際にはユーザID／パスワーの管理不十分によって情報漏洩などの事故も発生していることから、他の方法でクライアントの本人性を確認する方法を採用したサイトや仕組みもでています。（次号に続く）

（※本ニュースは、漫歩創媒が発行した「Whenever BizCHINA」の転載です）