SSL/TLS化とは

SSL/TLS化とは、デバイスとサーバ間で、個人情報などのやり取りを、全て暗号化して通信することができる仕組みとなります。

セキュリティを強化し、第三者への情報漏えいを防ぎ、なりすましや盗聴を防ぎながら、いつでも安全にデータを管理するためにも、SSL/TLS化は非常に重要となります。導入により、安全にデータのやり取りが可能になるというだけではなく、データ改ざんが行われていないという証明にもつながりますから、ウェブサイトを構築する上では必須であると考えましょう。

では、早速、SSL/TLS化について、メリットや機能、申請方法について詳しく見ていきましょう。

SSL/TLS化しない場合のリスク

SSL/TLS化していない場合、個人情報のやり取りを行うと、情報漏えいにより、迷惑メールが大量に届いてしまったり、クレジットカードの情報が盗まれてしまい、身に覚えのない請求書が届いてしまったりすることがあります。社内での大切な情報が他社に漏れてしまう事にもなりかねませんし、顧客の情報漏えいにより、社内の信用がなくなってしまったり、顧客を危険な目にあわせてしまったりするというリスクもあります。

ウェブサイトを活用していく中で、SSL/TLS化されていないという事は危険と隣り合わせとなってしまいます。SSL/TLS化されていれば、利用する顧客にとって安心感を与えることができ、信用できるウェブサイトであるという1つの指標にもつながります。

SSL/TLS化によりできる事

SSL/TLS化をウェブサイトに組み込むことで、データのやり取りを全て、暗号化することが可能となります。

暗号化した上で大切なデータをやり取りすることができるため、情報漏えいが起きてしまっても、情報を盗み見ることができません。暗号化通信には、共通鍵暗号方式と公開鍵暗号方式とがあるのですが、共通鍵暗号方式では、暗号化、そして複合どちらも同じ鍵を利用します。接続先ごとに鍵を生成し、鍵の盗聴が行われないように管理することが可能となっています。

公開鍵暗号方式では、先ほどの共通鍵暗号方式と異なり、暗号化と複合、どちらも違う鍵を生成します。この2つの鍵を受信する側で生成し、複合する時には、複合のために生成した鍵は公開しますが、暗号化に必要となる鍵を公開する事はなく、共有鍵暗号方式よりも、強固なセキュリティで、情報を守ることが可能となります。

その他、データが改ざんされていないという事を証明する事も可能となりますし、ウェブサイトの運営元を確認可能です。ウェブサイトの運営者情報や、上記で説明した鍵情報、署名データなどをSSL証明書として発行することが可能となっており、顧客の信頼を得ることができるようになるわけです。

SSL/TLS化をウェブサイトに組み込むことで、盗聴、なりすまし、データ改ざんを防ぐことが可能になります。SSL/TLS化する事で、URLが記載される部分に鍵のマークがつきますし、URLの始まりは、httpsから始まります。この鍵マークがついていると、ウェブサイトを利用するユーザーは、安全なサイトであるという事を認識することが可能となっています。

SSL/TLSの違い

2つ並べてSSL/TLSと説明を進めていますが、SSL/TLSは、SSL、TLSと別々の物となります。この2つは、通信を行う時の手順に若干の違いがあるのですが、ほとんど違いはなく、TLSの方が、新しいタイプとなります。実際、暗号化通信は、SSL通信と認識している人がほとんどとなっており、SSLと表示されていたり、SSL/TLSと表示されたりする事が多いのです。

SSL/TLS化の種類

SSL/TLS化には、3つの種類があり、セキュリティレベルやシーンに応じて使い分けるのがおすすめです。

企業証明ができる企業実在認証SSL、手軽に導入できるドメイン認証SSL、厳しい審査をクリアした企業のみに発行されるEVSSLがあります。

これらの違いや利用シーンについて、チェックしていきましょう。

企業実在認証SSL とは

企業実在認証SSLとは、登記簿謄本、企業実印を押した申請書、印鑑証明書を送付し、審査を通過した上で発行できるSSLです。

会社の情報を認証してもらうことで、安心、安全なウェブサイトであるという事を証明することができます。企業や、各種団体で、問合せフォームなど各種フォーム、ログイン画面などに活用されることが多くなっています。

ドメイン認証SSLとは

低コストで導入することができ、一番導入しやすいのが、ドメイン認証SSLとなります。

特定ページのみの暗号化や、メールサーバの暗号化、FTPサーバの暗号化として活用されています。

EVSSL とは

3つのSSL認証の中で最も厳しい審査をクリアしているのが、EVSSLです。

このEVSSLでは、非常に厳しい審査を通過した場合にのみ発行することが可能となっており、このEVSSL認証を受けていると、表示されるURLが緑色となります。インターネットを通じて買い物や、ネット銀行などに活用されています。常時SSL化が可能となりますから、セキュリティを出来る限り強化したい場合におすすめです。

上記3つのセキュリティレベルは同じとなります。ですが、企業実在認証SSL、その上のEVSSLであると、存在する会社であるのかどうか、審査を行っているという証明に繋がりますから、架空の会社ではないという事を証明し、顧客が安全に利用することが可能となります。

その他、複数の利用者で共有してSSLを活用する共有SSLと、独自のSSLを発行できる独自SSLがあります。

共有SSLは、無料で利用できるのですが、独自SSLの場合には、審査を受けえた上でSSLを発行することができますから、それだけセキュリティ対策にこだわっているというアピールにもつながります。共有SSLは、個人情報の取り扱いがない個人で運用するウェブサイトなどに多く使われています。

SSL/TLS化を組み込むための費用

先ほど共有SSLは無料で利用できると記載しました。独自SSLの場合には、どのSSLの種類を選ぶのかによって費用が変わってきます。SSL/TLS化に必要な費用の目安としては、企業実在認証SSLでは、数万円程度で発行できますが、EVSSLでは、数万円から十数万円の費用が必要になります。

ドメイン認証は、有料の場合には、数万円程度となりますが、無料で提供している物もあります。SSL/TLSの申請から証明書発行までを取り扱っている企業毎に申請から発行までの料金が異なります。では次に、SSL/TLS化の設定方法について、詳しく見ていきましょう。

SSL/TLS化の利用方法

SSL/TLS化を利用するためには、審査を行う必要があります。認証局にて基準値をクリアした企業のみ、企業実在認証SSLやEVSSLが発行できるようになります。

まずは、申請書を発行します。この申請書はCSRと呼ばれており、ウェブサイトを通じてコモンネーム、組織の名前、部署名やウェブサイトの所在地、国別番号などを記載して申請書を作成し、入力後、申請を行います。承認が完了になるとメールでお知らせがきますから、登記簿謄本、印鑑証明書、企業実印を押した申請書を用意しておきましょう。審査が完了すると、証明書を取得できるURLがメールで届きますから、証明書をサーバへインストールし、完了となります。

以上SSL/TLS化について詳しく説明してきました。

信頼できるウェブサイトであるか、確認した上で商品を購入したり、個人情報の入力を行ったりする顧客は少なくありません。ウェブサイトを運営するなら、ウェブサイトの安全を確保する事は非常に大切ですから、ウェブサイトを利用する顧客の大切なデータを安全に守ることができるように、SSL/TLS化を利用するのがおすすめです。