SSL/TLSはWEBサイトにおける通信を暗号化するための技術です。昨年にはGoogleが「常時SSL/TLS化」を推奨したということで、多くの企業が暗号化に対応したことではないでしょうか。
ただし、GoogleにおけるSEO対策としては有効なものの、セキュリティの観点から見たSSL/TLSの効果はいかほどなのか?
本稿は、WEBサイトでの対応が当たり前になったSSL/TLSの概要を改めて整理し、その効果と改ざん検知についてご紹介します。
SSL/TLS、その違いとは
SSL(セキュア・ソケッツ・レイヤー)とTLS(トランスポート・レイヤー・セキュリティ)は一見違うように見えて、実はその大枠は同じものです。SSLがバージョンアップを重ねて「SSL3.0」となり、その後のバージョンアップで「TLS1.0」と名称が変更されました。ちなみに現在では「TLS1.2」が最新バージョンとなっています。
SSLはTLSに名称が変更されたものの、長らく使用されてきたSSLの方が慣れ親しんでいるため、SSLと表記されることも多々あります。ですので本稿では、SSL/TLSと一括りにして表記いたします。
SSL/TLSの役割と仕組み
SSL/TLSの役割を簡単に言うとそれは「通信の暗号化」です。WEBサイトとユーザー間ではHTTPというプロトコル(規格)によって通信のやり取りがされています。たとえばユーザーが「このページに飛びたい」とリンクをクリックすればHTTPによってリクエスト(要求)が送信され、WEBアプリケーションから同じHTTPでレスポンス(返答)があり、目的のリンクへと飛ぶことができます。
このとき、SSL/TLSに対応していないと通信は第三者に筒抜け状態になってしまいます。通信情報が傍受されてしまうと、そこに含まれるセッション情報やアカウント情報によって不正ログインが起き、WEBサイト改ざんやその他重大なセキュリティ事件につながってしまう可能性があります。
SSL/TLSはこうした通信情報の傍受が起きないよう、通信を暗号化するための技術なのです。
SSL/TLSの仕組み
SSL/TLSの基本的な仕組みは公開鍵とサーバ証明書を使用します。公開鍵とは、暗号化した通信を解除するための鍵です。公開鍵がなければユーザー側で暗号化を解けないため、通信が正常に行われません。サーバ証明書とは、SSL/TLSを提供する各ベンダーが発行する電子証明書です。ユーザーはWEBサイトから送られてきたサーバ証明書で正常な通信かどうかを判断し、そこに含まれる公開鍵で暗号化を解除します。もちろん、これら一連の流れはすべて自動で行われており、ユーザーはSSL/TLS通信を使用していることを感じません。
暗号化のアルゴリズム
一口にSSL/TLSといっても、暗号化のためのアルゴリズムはいくつかあります。それらのアルゴリズムは単体で使用するのではなく、複数を組み合わせて使用するのが一般的です。中でも代表的なアルゴリズムがRSA(Rivest Shamir Adleman)であり、開発者3人の頭文字を取っています。RSAは現実的に解読が不可能なアルゴリズムと言われており、実装することで第三者による通信の傍受を防止できます。
SSL/TLSの効果とメリット
SSL/TLSは通信情報を暗号化することから、正規ユーザの成りすましやセッション情報の盗聴、あるいはWEBサイト改ざんを防止するといった効果があります。いずれもWEBサイトを運営する企業にとっては、攻撃が成功してしまうと被害は甚大です。そのため、SSL/TLSはWEBサイトセキュリティにおいて最も基礎となるセキュリティと言えましょう。
導入のメリットとしては、WEBサイトの信頼が向上することとSEO対策になることです。
SSL/TLSに対応しているWEBサイトでは、ブラウザ上部のURL欄に対応していることを証明する鍵マークが表示されます。近年フィッシング詐欺やWEBサイト経由のウイルス感染が多いことから、WEBサイトがSSL/TLSに対応しているかどうかを確認するユーザーが増えています。そうしたユーザーにSSL/TLS対応で信頼を与えれば、訪問者数は自然と伸びていくでしょう。
SEO対策に関しては、実はGoogleが「SSL/TLSはSEOに関係している」と明確に発表しているわけではありません。そもそも、GoogleはSEOに影響を与える要素は一切公表していないのです。ただし、Googleが「WEBサイトを利用するユーザーの安全のため、常時SSL/TLS対応を推奨する」という発言をしていることから、SEO対策においてSSL/TLS対応が重要だと認識されています。
このように、SSL/TSLには確かな導入効果とメリットがあります。サーバ証明書の取得や対応期間によってコストはかかるものの、WEBサイトの信頼とセキュリティ事件が発生した際の被害を考慮すれば、セキュリティ対策としてはかなり低コストな投資です。
SSL/TLSだけではWEB改ざんは防げない
よく誤解されがちなのが、WEBサイトセキュリティはSSL/TLSにさえ対応していれば大丈夫、というものです。確かにSSL/TLSは通信を暗号化するのでWEBサイトにとってセキュリティ上非常に重要です。しかし、それだけですべてのサイバー攻撃を防げるわけではありません。
むしろ、通信情報を傍受されないというだけで、サイバー攻撃を仕掛けること自体は簡単にできてしまいます。従って、SSL/TLSがあれば大丈夫と考えている場合は、早急に新たなセキュリティ対策を講じることをおすすめします。
たとえば改ざん検知を導入するとWEBサイトセキュリティに有効です。改ざん検知とは、WEBサーバ上に保存されているファイルやソースコードなど、それらが不正に変更された際に検知して管理者にアラートします。サイバー攻撃とはつまるところファイルやソースコードなどの改ざんなので、あらゆるシステムの改ざんを検知することで効率良くその兆候を察知できるでしょう。
改ざん検知のパイオニアであるTripwireは、1997年より20年以上にわたって世界各国の企業のセキュリティを支援しています。Tripwireの特長は広範囲にカバーした検知性能です。サーバを始め、デスクトップ、アプリケーション、ネットワークデバイス、データベース、ディレクトリサービス、ハイパーバイザ(仮想化ソフトウェア)を監視し、改ざんがあれば迅速に検知および通知します。
さらに、改ざんを自動で修正するためのプログラムも実行できるので、近年多発するWEBサイト改ざんなどのサイバー攻撃に有効です。
SSL/TLS導入は当たり前に、プラスαのセキュリティを
SSL/TLS導入が当たり前になった時代。通信傍受によるセキュリティ事件は少なくなったものの、SSL/TLSの特徴を逆手に取ったサイバー攻撃も少なくありません。従って、WEBサイトを確実に保護するためには、SSL/TLSだけでなくプラスαのセキュリティが必要です。
皆さんの企業では、現在どういったセキュリティ対策を講じているでしょうか?まだSSL/TLS対応しかしていないという場合は、ぜひ改ざん検知による効果的なセキュリティ保護をご検討ください。
