SSL通信・SSL証明書でインターネットセキュリティ対策

SSL通信・SSL証明書でインターネットセキュリティ対策




SSL通信・SSL証明書でインターネットセキュリティ対策

総務省「2018年通信利用動向調査」によると

  1. メール利用・・・80.2%
  2. SNS利用・・・54.7%
  3. 商品・サービスの購入・・・49.1%

の利用目的でインターネットが利用されています。

インターネット通信は、インターネットに接続出来る環境さえあれば、利用可能で便利ですが、悪意ある第三者により通信の中身を盗聴される等々のインターネットセキュリティリスクもあります。

SSL通信の仕組み

この記事では、

  • インターネット通信のセキュリティリスク
  • インターネット通信を暗号化するSSL通信

それぞれについて説明していきます。

インターネット通信のセキュリティリスク

インターネット通信のセキュリティリスク

インターネットへのアクセスの際、

  • Google Chrome
  • Safari
  • Internet Explorer 等々

のWebブラウザを利用して

  • 情報の検索
  • 商品・サービスの購入
  • Webメールの送受信

を行っています。

Webブラウザ・サーバ

この、

  • Webブラウザ(クライアント)
  • Webサーバ(サーバ)

両者間でのインターネット通信は、HTTP(HyperText Transfer Protocol)という仕組み(プロトコル)で通信が行われており、HTTPの仕組みには、インターネット・セキュリティリスクである

  • なりすまし
  • 改竄(かいざん)
  • 盗聴

を防止する機能がありません。

HTTP

インターネットの利用は物理的・時間的コストが省かれるという大きなメリットがある一方で、インターネットに繋がる機能さえ備えていれば、誰でも

  • オンラインショッピングで登録する際の個人情報
  • ネット銀行で口座開設の際の個人情報
  • ネット証券で取引する際の個人資産 等々

を不正に取得・利用出来るというインターネット・セキュリティリスクがある為、個人情報流出等々のセキュリティ面での不安があります。

インターネット通信・暗号化なし

そこで、インターネット・セキュリティリスクの被害を受けないために、

  • クライアント・サーバ間
  • ユーザー間

での通信を暗号化する事で必要になってきます。

インターネット通信・暗号化あり

セキュリティリスク

具体的なインターネット通信セキュリティリスクには、

  • なりすまし
  • 改竄(かいざん)
  • 盗聴
  • 事後否認

が列挙されます。

なりすまし

なりすまし

「フィッシング詐欺」と呼ばれる不正行為を聞いた事はありませんか。

「フィッシング詐欺」とは、

  • 有名な金融会社
  • Amazon、楽天等々のECサイト

を装い、電子メールをユーザに送り付け、正規サイトと変わらない質の偽物Webサイトに誘導し

  • 電話番号、住所
  • クレジットカード番号 等々

の個人情報を不正に入手しようとする詐欺のことを指します。

他人の業者に装い、様々な不正行為を行うことを「なりすまし」といいます。

「なりすまし」の一つである「フィッシング詐欺」は、情報送信者が「本物」と同様のURLを使用している事が多く、「本物」かどうかを見極める事は非常に難しいです。

URLとはUniform Resource Locatorの略で、Webサイトが設置されている住所のようなものです。

URLはWebブラウザの上部に設置されています。

URL

URL

改竄

改竄

例えば、B社の社員が、仕入先へ「A商品をB社に5個送ってください」という発注書のメールを出すとします。

このメールの送信の際に、悪意ある第三者によって内容が途中で書き換えられ、「A商品をC社に5個送ってください」と改竄されていても、仕入先は、何も疑うことなくC社に商品を送ってしまう可能性があります。

盗聴

盗聴

  • メーラー
  • Webブラウザ 等々

を使ったインターネット通信は多くのサーバーを経由し、様々な通信経路を辿って届けられます。

その為、インターネット通信に関してある程度の技術をもった人であれば、誰にも知られずインターネット通信の中身を覗き見ることが可能です。

事後否認

事後否認

「事後否認」とは、インターネット通信の当事者が、

  • 情報をやりとりした事実を否定
  • 内容が改竄されていると主張

することを言います。

セキュリティリスク対策

インターネット通信のセキュリティリスク対策に一番大事なのは、インターネット通信のセキュリティに関する意識を高める事です。

インターネット通信のセキュリティに関する意識というのは、インターネット被害を経験しないと高まるものではありませんが、

  • 個人情報の流出
  • ウイルス感染
  • サイバー攻撃の標的
  • ランサムウェアによる被害
  • なりすましの被害 等々

にあってからセキュリティリスク対策するようでは遅きに失します。

被害に遭う前に、個人でも出来る

  • セキュリティソフトの利用
  • 通信相手が「なりすまし」ではないかチェック

のセキュリティリスク対策を講じることが大事になります。

インターネット通信を暗号化するSSL通信

インターネット通信を暗号化するSSL通信

インターネット・セキュリティ・リスク対策をしないまま、インターネット上で

  • メールのやりとり
  • オンラインショッピングサイトへの会員登録

をした場合、悪意ある第三者により通信の中身を盗聴される可能性もあります。

SSL通信の仕組み

それらを防止するためには、

  • Webブラウザ(クライアント)
  • Webサーバ(サーバ)

両者間の通信をSSL通信というインターネット通信を暗号化して送受信する仕組み(プロトコル)を利用する事で、悪意ある第三者からの盗聴を防ぐ事が出来ます。

SSL通信の仕組み

SSLとは「Secure Socket Layer(安全ソケット層)」の略で、

  • WebブラウザとWebサーバ
  • メーラーとメールサーバ 等々

のインターネット上での通信を暗号化して送受信する仕組み(プロトコル)です

SSL通信の特徴

SSL通信の特徴として

  • 通信内容の暗号化
  • 通信対象の真正性
  • 改竄検知

これらの機能があります。

通信内容の暗号化

通信内容の暗号化

「通信内容の暗号化」は、インターネット通信リスクの「盗聴」を回避する機能です。

  • Amazon、楽天等々のECサイトでのオンラインショッピング
  • メーラーからのメール送受信 等々

の際に、

  • Webブラウザ(クライアント)➡︎ Webサーバ
  • メーラー(クライアント)➡︎ メールサーバ

クライアント・サーバ間で通信データをやりとりします。

この通信データを第三者が「盗聴」しても内容が分からないようにする為、通信データを暗号化する必要があります。

暗号化通信が行われるWebサイトの確認は、以下の方法があります。

・URL欄の鍵マークの有無

URL欄の鍵マークの有無

SSL通信


出典:Google

・URLが「http://〜」ではなく、「https://〜」で表示

https://〜」で表示

通信対象の真正性

通信対象の真正性

「通信対象の真正性」は、インターネット通信リスクの「なりすまし」を回避する機能です。

暗号化通信により、通信内容はクライアント・サーバ以外の第三者には解読出来ません。

しかし、暗号化通信が正しく行われていても、第三者に情報が洩れる場合があります。

そのひとつが、インターネット通信リスクの「なりすまし」です。

「なりすまし」の一つである「フィッシング詐欺」は、情報送信者が「本物」と同様のURLを使用している事が多く、「本物」かどうかを見極める事は非常に難しいです。

正規サイトを装っている「フィッシング詐欺」サイトを正規サイトだと思い込み、個人情報を送信してしまい、意図していない相手に渡すことによって個人情報が第三者に漏洩してしてしまいます。

なりすまし

そこで、SSLサーバ証明書に含まれる所有者情報を利用して「通信対象の真正性」を確認します。

SSL通信は、SSLサーバ証明書によって「通信対象の真正性」を担保しています。

SSL証明書の内容

SSL証明書の中身は、

  • 公開鍵の情報
  • コモンネーム
  • 公開鍵の所有者情報
  • 所有者を証明した認証局の情報
  • 証明書の有効期限
  • 証明書のシリアル番号
  • 証明書の失効リスト参照先 等々

これらの情報が含まれています。

公開鍵に関する記事はこちら

【図解】共通鍵暗号方式と公開鍵暗号方式の仕組み・特徴
【図解】共通鍵暗号方式と公開鍵暗号方式の仕組み・特徴 インターネットの世界では 色々な情報を瞬時に検索可能 実際に店舗に行かずにオンラインショッピングが可能 インターネットに繋がっている端末さえ保有していれば誰とでも通信可...
コモンネーム・・・電子証明書に記載された所有者情報です。

コモンネーム

認証局・・・SSL証明書の発行は、認証局(CA : Certification Authority)と呼ばれる第三者機関によって審査・認証されます。

以下、代表的な認証局を列挙します。

 運営会社設立日資本金
Digicert
Digicert
デジサート・
ジャパン
合同会社
1996年2月1億円
GeoTrust
GeoTrust
Cybertrust
Cybertrust
サイバートラスト
株式会社
2000年6月5億4,016万円
GlobalSign
GlobalSign
GMO
グローバルサイン
株式会社
2003年4月3億5,664万円
comodo
comodo
株式会社
コモドジャパン
2008年2月1,000万円
実際のSSL証明書の確認

URL欄の鍵マークをクリックすると、SSL証明書の詳細を見ることができます。

URL・・・Uniform Resource Locatorの略で、Webサイトが設置されている住所のようなもの。

URLはWebブラウザの上部に設置されています。

SSL証明書

URL欄の鍵マークをクリック後、「Certificate(Valid) : 証明書(有効)」の部分をクリックします。

SSL証明書

SSL証明書の中には、

  • 申請者
  • 発行者
  • 公開鍵情報 等々

これらの情報が記載されています。

SSL証明書

SSL証明書

SSL証明書発行の仕組み

SSL証明書発行の流れは

  1. Webサイト運営組織による秘密鍵の生成
  2. Webサイト運営組織による秘密鍵を使ったCSRの生成
  3. Webサイト運営組織から認証局へSSLサーバー証明書の発行申請
  4. 認証局によるWebサイト運営組織の審査
  5. 認証局からWebサイト運営組織へSSLサーバー証明書の発行

という流れになります。

秘密鍵の生成

秘密鍵はサーバ内で乱数を使って生成します。

秘密鍵は

  • 認証局で保管するものではない
  • 一度失くしてしまうと再発行が出来ない
  • 再作成も出来ない

その為、取扱いに十分注意する必要があります。

秘密鍵の生成

秘密鍵に関する記事はこちら

【図解】共通鍵暗号方式と公開鍵暗号方式の仕組み・特徴
【図解】共通鍵暗号方式と公開鍵暗号方式の仕組み・特徴 インターネットの世界では 色々な情報を瞬時に検索可能 実際に店舗に行かずにオンラインショッピングが可能 インターネットに繋がっている端末さえ保有していれば誰とでも通信可...
CSRの生成

秘密鍵を用いてCSRを生成します。

CSRの生成

CSRとは「Certificate Signing Request」の略で、SSL証明書発行に必要なテキストデータです。

秘密鍵作成時に生成するデータで、

  • 公開鍵
  • コモンネーム(FQDN)
  • 組織名 等々

が含まれています。

SSL通信が行われる際、

  • SSL証明書のコモンネーム
  • サーバに設定されているFQDN

が一致しているか比較します。

一致している場合に限り、SSL通信を開始することができます。

FQDN・・・Fully Qualified Domain Name の略。

FQDN

SSLサーバ証明書の申請

SSL証明書の発行の為、秘密鍵を用いて生成したCSRを認証局に提出・発行申請します。

SSL証明書の申請

認証局審査

認証局は

  • 提供されたCSR
  • 申し込み情報

を元に内容を精査してSSL証明書を発行します。

認証局審査

SSL証明書・認証レベル

SSL証明書は、認証レベルにより

  • ドメイン認証
  • 企業認証
  • EV認証

の三つに分けられます。

 DVOVEV
名称Domain
Validation
Organization
Validation
Extended
Validation
認証型ドメイン認証型企業認証型EV認証型
証明事項・ドメイン所有権・ドメイン所有権
・運営元の法的実在性
・ドメイン所有権
・運営元の法的実在性
・企業の所在地認証
対象・個人
・法人
・法人・法人
暗号化通信
ドメイン名の
所有権確認
組織の
実在性確認
✖️
フィッシング
詐欺対策
✖️
認証レベル最低位
中位最高位
最適サイト例・個人事業主のサイト
・ブログ
・ECサイト
・ログイン型の会員制サイト
・ECサイト
・インターネット銀行
・インターネット証券
・仮想通貨取引所
SSL証明書の発行

SSL証明書の発行

認証局による認証審査後、Webサイト運営組織に対してSSL証明書が発行されます。

改竄検知

改竄検知

「改竄検知」は、インターネット通信リスクの「改竄」を回避する機能です。

具体的には、送信者は

  • データ本文を共通鍵を使ってMAC値を作成
    MAC値・・・Message Authentication Code の略
  • MAC値をハッシュ関数によってハッシュ値に変換
  • ハッシュ値を送付

受信者は、送信者から送付されたハッシュ値を共通鍵を利用してMAC値を計算します。

  • 受信者が計算したMAC値
  • 送信者から送られてきたMAC値

これらの値が一致していれば、 データ本文は改竄されていないと見なされます。

改竄検知

共通鍵に関する記事はこちら

【図解】共通鍵暗号方式と公開鍵暗号方式の仕組み・特徴
【図解】共通鍵暗号方式と公開鍵暗号方式の仕組み・特徴 インターネットの世界では 色々な情報を瞬時に検索可能 実際に店舗に行かずにオンラインショッピングが可能 インターネットに繋がっている端末さえ保有していれば誰とでも通信可...

ハッシュ関数に関する記事はこちら

ハッシュ関数とは?ハッシュ関数のアルゴリズムと種類
ハッシュ関数とは?ハッシュ関数のアルゴリズムと種類 ブロックチェーン技術・仮想通貨の盛り上がりに乗じて、注目を浴びているハッシュ関数。 ハッシュ(hash)は英単語ですが、 ハッシュド・ポテト(hashed potato) ...

SSL通信の仕組み

SSL通信は、

  • 共通鍵暗号方式
  • 公開鍵暗号方式

2つの暗号方式を組み合わせて安全な接続を確立します。

共通鍵暗号方式と公開鍵暗号方式に関する記事はこちら

【図解】共通鍵暗号方式と公開鍵暗号方式の仕組み・特徴
【図解】共通鍵暗号方式と公開鍵暗号方式の仕組み・特徴 インターネットの世界では 色々な情報を瞬時に検索可能 実際に店舗に行かずにオンラインショッピングが可能 インターネットに繋がっている端末さえ保有していれば誰とでも通信可...

SSL通信リクエスト

  • Webブラウザ
  • メーラー 等々

のクライアントからサーバに対して、SSL通信の接続リクエストを行います。

SSL通信リクエスト

SSLサーバ証明書・秘密鍵・公開鍵

サーバ側では、クライアントからのSSL通信の接続リクエストに備えて

  • SSLサーバ証明書
  • 秘密鍵
  • 公開鍵

が用意されています。

SSLサーバ証明書・秘密鍵・公開鍵

SSLサーバ証明書・公開鍵の送付

サーバからクライアントへ

  • SSLサーバ証明書
  • 公開鍵

を送付します。

SSLサーバ証明書・公開鍵の送付

共通鍵の生成

クライアントは、

  • 受け取ったSSLサーバー証明書のルート証明書
  • Webブラウザに登録されているルート証明書

を照合します。

安全なWebサイトであることが確認できたら、クライアントは共通鍵を生成します。

共通鍵の生成

共通鍵を暗号化

公開鍵を使って共通鍵を暗号化し、サーバに送付します。

共通鍵を暗号化

共通鍵を復号化

秘密鍵を使って共通鍵を復号化し、SSL通信接続を確立します。

共通鍵を復号化

SSL通信の確立

SSL通信では、

  • 共通鍵を公開鍵暗号方式によって受渡し
  • 共通鍵暗号方式で暗号通信

という流れが、SSL通信での接続確立になります。

SSL通信の確立

以上が、

  • インターネット通信のセキュリティリスク
  • インターネット通信を暗号化するSSL通信

それぞれの説明になります。

コメント