Netassist Blog

ざっくりとしたサーバー周りのインフラ入門ブログ

いつもネットアシストのブログをご覧いただきありがとうございます。
インサイドセールスのCoです。

4回目となる今回はちょっと目先をかえて「SSL」についてざっくりと説明いたします。
インフラからは少し離れますが、サーバーを借りて、いざ「WEBサイトを始めよう!」
となった時に必要なものです。

が・・・色々と混同しやすいので早めに解説をします!!

第4回 SSLとは

SSLは導入を検討される方の立場によって、捉え方が異なるかもしれません。
マーケティングや広報の方はSEO対策として、サイト担当の方はセキュリティ
対策として検討されているのではないでしょうか?

SSLは「Secure Sockets Layer」の略でWEBサイトとユーザー(サーバーと
PC)間の通信を暗号化する仕組みを言います。

暗号化した通信は第3者が盗み見ても通信内容がわからないため、個人情報や
クレジットカード情報を安全にやりとりする事が出来ます。以前は個人情報を
入力する問合せフォームのみSSL証明書を適応することもありましたが、現在
は全てのページを対象にした常時SSL化が推奨されています。

Googleも常時SSL化を推奨していますので、SSL化されていないサイトはSEOの
際に上位表示されないといったこともあります。そのため、SSLに対する認識は
担当されている業務によって異なってきます。

(ただ、どちらの立場の方であっても、未導入であれば早々に導入することを
お勧めいたします。)

SSL化されるとhttpがhttpsになります。

なお、SSLはサーバーのセキュリティ対策ではありませんので、くれぐれもお間違
いのないように・・・。ニュースで耳にする個人情報やクレジットカード情報の
漏洩は、主にサーバーやWEBサイトのバグや脆弱性を攻撃された結果の被害に
なりますので、常時SSL化しただけでは防げません。

ちょっと乱暴なイメージですがSSLだけでは自宅の目立つ位置にある「窓」に鍵
をかけた程度です。
このままでは玄関や裏口や小窓に鍵は掛かっていません。

FW(ファイヤーウォール)やIPS/IDS、WAFなどを正しく導入してやっと戸締り
完了です。
(戸締りをしても、それらを突き破って入ってくる人もいますが・・・)

セキュリティ対策についてはこれだけで何回分も書けてしまうジャンルなので、
また別の機会にざっくりと。
ざっくりしていない(しっかりとした)セキュリティのブログは弊社のセキュリ
ティ担当 営業部KMが書いていますのでよろしければそちらもどうぞ。

https://www.netassist.ne.jp/blog/?cat=14

ちなみにSSL証明書には無料の物もあります。個人のサイトであれば無料の物で
も十分ですが、企業としてサイトを運営しているのであれば、有償の物を使用し
ましょう。

ということでここからは有償のSSL証明書を前提にお話しします。

ドメイン認証・企業認証・EV認証の3タイプががります。認証のレベルによって
価格は全く違いますが、暗号化の機能としては一緒です。この認証のレベルに
よって証明書の信頼度と取得に必要な手続きが変わってきます。

【認証レベルによる比較】
 価格  : ドメイン < 企業 < EV
 信頼度 : ドメイン < 企業 < EV
 暗号化 : ドメイン = 企業 = EV

■ドメイン認証
ドメイン認証はドメインの管理者による認証を得てから、サーバー証明書を発行
する認証システムです。書類提出の必要がなく、ウェブ上で承認手続きが行える
サービスも多く、申込から設置まで1,2日で完了できるといった特徴があります。

■企業認証
企業実在認証とも呼ばれ、証明書に記載される組織が法的に存在し、その組織が
証明書に記載されるドメインの所有者であることを確認し発行される証明書で
す。 証明書に記載される組織名は偽装ができないため、ウェブサイトにアクセス
するユーザは、証明書(サイトシール)を確認することで、自分がアクセスした
URLの運営組織を知ることができます。※しかしサイトシールは画像とリンクで
構成されている為、サイトシールっぽいものを再現する事ができてしまうのが実
情です。

■EV認証
【証明書に記載される組織が法的に存在し、その組織が証明書に記載されるドメ
インの所有者であることを確認する】ここまでは企業認証と同じです。これに加
え所在地の認証まで行います。アドレスバーに社名が表示され色が緑に変わりま
すのでフィッシング対策にも有効です。ユーザから見た時にドメイン認証、企業
認証と大きな違いがあります。

余談ですが、かつてはフィッシングサイト対策にSSLを導入するといった話も
ありましたが、現在はフィッシングサイトでもドメイン認証のSSL証明書を使用し
ているので、それらと差別化を図るには企業認証以上のSSL証明書取得が必要に
なりました。

ネットアシストでは各種SSL証明書も取り扱っています。
種類が多すぎてどのSSL証明書を選べば良いかわからない!という方は、構築や
保守代行と併せてお気軽にご相談ください。

と、さり気なくSSL証明書の営業をしたところで第4回 はここまでです。

このブログをご覧の方でサーバーでお困りごとなどありましたら
ネットアシスト までお気軽にご相談ください。

■ ご相談はフリーダイヤル(0120-941-670)
             またはHP内のお問合せフォームからどうぞ ■