SSL化の重要性と想定される被害【サーバー運用】

テクノロジー

SSLって何?


SSLとは、「Secure Sockets Layer」の略称で、Webサーバーとユーザとのやり取りを暗号化するための仕組みです。
URLがhttpsから始まるものは、SSL化されている証拠です。
一方でhttpから始まるものは、暗号化されていないということが明示的に表されています。

SSLを使用しない場合(http通信の場合)、通信を盗聴される可能性があります。
閲覧しているページにて送信したアドレスや、書き込んだ内容、そしてクレジットカード番号やパスワードなども盗聴することができてしまいます。
それでは安心してインターネットを使うこともできませんよね?
そこで登場したのがSSLという仕組みです!

レストランやカフェなどで利用できる無料Wi-Fiも、知識さえあれば管理者が非SSL(http)通信の内容を盗聴することができてしまいます。
HTTP通信には暗号化機能がデフォルトで備わっていません。
非SSL(http)通信のままでは通信内容を盗聴されてしまう恐れがあるため、SSLを用いてブラウザとサーバー間の通信の暗号化を行います。
暗号化されたデータを盗聴されても、解読することができないため、被害にはつながらないと考えられています。

SSLというワードが世の中に広まっていますが、SSLとは古い規格であり、脆弱性が発見されたため現在では使用が禁止されています
より安全なTLS(Transport Layer Security)という暗号化通信の規格を使用することが推奨されています。

しかし、世間ではSSLというワードが暗号化規格の一般名称として定着しているため、暗号化について話すときは「SSL化」というワードを用いています。

非SSL(http)通信における具体的な被害の仕組み


非SSL(http)通信を行った場合、暗号化されていない通信となるため通信を傍受された際には内容をすべて盗聴されてしまう恐れがあります。

ECサイトやログイン機能を持ったサイトでは、クレジットカード番号やパスワードを送信することが多くあります。
通信を傍受された場合、これらの情報が暗号化されずに盗聴され、盗聴した攻撃者に利用されてしまう恐れがあります。
このような攻撃方法を、中間者攻撃(Man In The Middle Attack)といいます。

複数のサイトのログインパスワードを、1つのもので統一してしまっている場合、他サイトにまでログインされ被害は甚大なものとなってしまいます。

SSLで改ざんを防止!?


SSLを用いるには、SSL証明書という暗号化通信の証明書が必要となります。
SSL証明書を用いることで通信の暗号化はもちろん、データの改ざんを防止することもできるのです!

データの改ざん防止とは何か、解説していきます。

WebサイトをSSL化すれば、ブラウザとサーバーとの通信が暗号化されます。
攻撃者が盗聴したデータを書き換えて送信しても、データが改ざんされたことがわかり、改ざんされたデータを破棄して再度データを送るように指示することができます。

例として、ECサイト等で送金先を攻撃者が書き換え、送信したとします。
サーバーに送られた際に、改ざんを検知しデータを破棄します。
このような処理が行われることで、データの改ざんを防ぐことができます。

逆に非SSL化(http)通信の場合では、改ざんを検知することができず、攻撃者に送金をする等の被害が出てしまう恐れがあります。

まとめ

SSL化とは暗号化の技術であることがわかっていただけたかと思います。
暗号化技術に関してはもっと内容が深く、難しいため、セキュリティを本業とする方以外は、本記事の内容を理解していただけたら良いかと思います。

暗号化として知られているSSLですが、実は多くの機能を持った優れものです。
この技術でどこまでの攻撃を対策することができるのか、逆にどの攻撃には対応しきれないのか、これを知ることで自社のWebセキュリティを高めることができるかと思われます。


株式会社amplitは神奈川県厚木市に本社を置く会社であり、主にWebマーケティング、サイト制作を行っております。
それぞれの分野のプロフェッショナルが集結した会社で、お客様のWeb戦略を0からサポートいたします。
「比較biz」さんが運営する「厚木市のおすすめホームページ制作6社を徹底比較」にも選出されました!
https://www.biz.ne.jp/list/hp-design/14_kanagawa/atsugishi/

関連記事