SSLとは？ 役割や導入手順などを解説

近年、ECサイトを利用して買い物をする方が増加し、クレジットカード番号や住所といった個人情報を、インターネット上で入力する機会も増えています。それに伴い、フィッシング詐欺や個人情報の流出といった事件も増加傾向にあるのが実情です。

大切な個人情報を第三者に盗まれないようにセキュリティを高め、閲覧者が安心して使えるサイトを作るためには、SSLの導入が欠かせません。ここでは、SSLの概要や役割、導入方法などについてご紹介します。

SSLとは

SSLとは「Secure Sockets Layer」の略で、サーバーとパソコン間で行われているデータの送受信を暗号化する仕組みのことです。
サーバー上でデータを解読するために必要な「公開鍵」と「秘密鍵」を生成し、サイト利用者（ブラウザ）は公開鍵でデータを暗号化、サーバー側では秘密鍵を使用してデータを解読します。SSLを導入することで、個人情報などを第三者に盗まれるリスクを低減できます。
検索サイト大手のGoogleでは実装を検索結果の基準としていて、一般ユーザーにもSSLが導入されているか気にしている方が多いなど、安全で信頼性の高いWebサイトを作るうえで、SSLは欠かすことができない要素です。

閲覧中のWebサイトがSSL化されているかどうかは、次の2つの方法で簡単に確認可能です。

・WebサイトのURLアドレスが「https」で始まっている

・ブラウザのアドレスバーに鍵のマークが表示されている

また、アドレスバーの鍵マークをクリックすることで、SSLの詳細を確認することもできます。

SSLとTLSの違い

SSLは、TLSという言葉とセットで「SSL/TLS」のように記載されることもあります。TLSは「Transport Layer Security」という言葉の略で、SSLのバージョンアップにより名称が変更されたものです。基本的な仕組みなどにSSLと大きな違いはありません。

TLSの方が新しいバージョンですが、SSLの認知度が高いため、現在もSSL/TLSと併記したり、単にSSLと表記したりするのが一般的です。

SSLの役割

データを暗号化して送受信するSSLを導入することで、サイトのセキュリティ面での改善を図れます。SSLは、Webサイトにおいてどのような役割を担っているのでしょうか。

データの盗聴や改ざん防止

ECサイトを始め、インターネット上でクレジットカード番号や暗証番号、個人情報を入力する機会は多いです。その際に、データの送受信が暗号化されていないと、第三者は簡単に個人情報を盗み見たり、データを改ざんしたりできてしまいます。
SSLでは、データの盗聴を防ぐために、次のような通信手段をとっています。

【SSLを利用した通信方法】
1．サーバーが利用者（ブラウザ）に公開鍵のついた「SSLサーバー証明書」を送信
2．ブラウザは証明書を検証し、問題がなければ公開鍵を使って共通鍵を暗号化する
3．ブラウザから暗号化した共通鍵をサーバーに送信、サーバーは秘密鍵で共通鍵を復号する
4．復号化した共通鍵を使ってサーバーとブラウザ間でデータの送受信を行う

仮に第三者にデータの送受信を盗聴されていたとしても、公開鍵ではデータを復号化できません。SSLを導入しデータの送受信を暗号化することで、個人情報の流出やデータ改ざんといったリスクを防げます。

なりすましの防止

Webサイトでは、第三者がサイト運営者になりすまして、顧客から金銭をだまし取ったり個人情報を入手したりする犯罪の手口があります。
SSLによる通信では、サーバーがブラウザに「SSLサーバー証明書」を送信し、サイトの運営企業が実在しているのか、利用しているドメインの正しい所有者なのかといった確認が行われます。

第三者によるなりすましを防止し、個人情報や金銭を不当に取得されるのを防ぐのも、SSLの持つ重要な役割の1つです。

SSLを導入するための手順

SSLをWebサイトに導入する際は、通信の暗号化に必要な鍵や、サイト運営者の情報が含まれているSSLサーバー証明書のインストールが必要です。証明書は、電子証明書の発行を認められている第三者機関による審査を経て発行されます。
SSL導入までの手順は、一般的には以下の通りです。

1．CRS（Certificate Signing Request：署名リクエスト）と呼ばれる、SSLサーバー証明書発行のための申請書を作成する
2．認証局の申し込みフォームに必要事項を入力し、申請する
3．登記簿謄本や印鑑証明書など、審査に必要な書類がある場合は、認証局に送付する
4．証明書発行のメールを受信したら、所定のURLから証明書をダウンロードする
5．ダウンロードした証明書をサーバーに保存し、インストール作業を行う

SSLを導入する際は証明書の種類に注目

SSL証明書は、審査内容に応じて大きく3種類に分けることができます。種類によって信頼性の高さなどが異なるため、特徴を踏まえて用途に適した証明書使い分けることが大切です。

ドメイン認証型

ドメイン認証型は、Webサイトのドメイン名の所有名義さえ確認できれば取得できるSSL証明書です。審査項目が少なく、低コストかつ短時間で取得できるのがメリットで、法人登記していない個人の方でも取得できます。手続きもオンライン上の審査で完結するため手間がかからず、簡単にサイトのセキュリティを強化可能です。

ただし、ドメイン名を所有していれば簡単な審査で取得できてしまうため、なりすましへの対策とはなりづらく、安全性や信頼性といった面では他のSSL証明書に劣ります。
社内用サーバーのように利用者が限られていて特定しやすい場面や、個人情報の入力フォームが含まれていないページ、個人のWebサイトでの利用といった用途向けの証明書です。

企業認証型

企業認証型は、Webサイトを運営している企業・組織が実在することを確認したうえで発行される、最も一般的なSSL証明書です。
第三者機関に記載されている電話番号などに電話して申請者の実在を確認するため、ドメイン認証型よりも高い信頼性を持ちます。書類が必要になるなど手続きに手間はかかる点がデメリットですが、サイトの安全性を高め、ユーザーに安心感を与えられるでしょう。

ただし、法的登記の有無でサイト運営者の実在確認を行うため、個人のWebサイトや個人事業主の方は取得できません。企業・組織のお問い合わせフォーム、ログインが必要なSNSサイトなどでの使用に向いている証明書です。

EV認証型

EV認証型は、企業が物理的に実在するか、運営されているかなど、企業認証型よりもさらに厳格な審査を行ったうえで発行されます。費用、時間ともにコストがかかりますが、信頼性は最も高い方法です。

また、EV認証型を取得したサイトは、ブラウザのアドレスバーが緑色になり、サイトの運営組織名も表示されます。SSLが導入されているというのが視覚的にわかりやすくなり、サイト閲覧者に安心感を与えることにつながるでしょう。

ECサイトや金融機関など、決済を行ったり機密性の高い個人情報を取り扱ったりして、フィッシング詐欺に使われる恐れがあるページに適しています。

SSLを活用してサイトの安全性を高めよう

多くの情報をやり取りするインターネット上では、第三者に情報を盗まれたり改ざんされたりする恐れがあります。SSLを活用して通信の安全性を担保したり、サイト運営者の実在性を証明したりして、安全にデータを送受信できる環境を整えることが、信頼できるサイト作りのためには欠かせません。

マルチテナントはSaaS型サービスでの採用が多いのに対し、シングルテナントはPaaS型（Platform as a Service）と呼ばれるサービスで採用されるケースが多くみられます。これは、PaaSがハードウェアやOSなどのプラットフォームを提供するサービスなので、ユーザーごとに異なる環境やシステムの開発が行えるためです。

SSLのサーバー証明書には審査内容に応じて3つの種類があり、それぞれ信頼性が異なります。まずはフォーム入力などの必要の有無、決済や機密性の高い個人情報の取り扱いなど、Webサイトがどのような用途で使われていて、どれくらいの信頼性が必要なのかを考えましょう。
用途に応じて使用するSSLを選定することが、ユーザーが安心して使えるサイトの構築につながります。

メルカートでは標準で適切なSSＬ認証を導入できるため、気になる方はご相談してみて下さい。