とある小さな会社の初心者Web担当、ななこ。いつも笑顔がモットーの元気な女性です。そんな彼女の身に降りかかった「情報漏えい?疑惑」。会社のサイトにSSLという暗号化の仕組みが使われていなかったことが原因らしいというところまでは突き止めたのですが、ではどうすればよいのかが分かりません。SSLの落とし穴にはまり困惑するななこに、ニッコリーが解決のヒントを授けるのでした。さて、事件はどこまで解決するのでしょうか。
暗号化のヒミツは「鍵」にあり
ななこ
SSLが大切なのはよく分かったわ。でも、それを使うにはどうしたらいいの? やっぱりサーバーを乗り換えないとダメなのかな。
その前に、SSLについてもう少し知ってもらおうかな。
ニッコリー
ななこ
えー、まだ何かあるの?
だって、SSLがなぜ必要なのか、までしか話していないもの。
ニッコリー
ななこ
うっ、そうでした。
SSLは暗号化だっていう話はしたよね。他にもTLS(Transport Layer Security)というSSLと同様の技術もあって、「SSL/TLS」とも呼ばれている。
ニッコリー
ななこ
ふーん。それで暗号化って実際にはどうやってやるの?
おっ、だいぶ乗ってきたね。暗号化には「共通鍵暗号方式」と「公開鍵暗号方式」、2つの方式があるんだ。
ニッコリー
ななこ
何が違うの?
共通鍵暗号方式は、送信側が「共通鍵」で暗号化し、受信側が同じ鍵で元に戻してデータを取得する方式。公開鍵暗号方式は、受信側が公開している「公開鍵」で送信側がデータを暗号化。受信側は、受信側だけが持っている「秘密鍵」(「公開鍵」と対になっている)で元に戻してデータを取得する方式なんだ。
ニッコリー
ななこ
同じ鍵でやり取りするのと、受信側だけが開けられる鍵があるのね。何かヒミツのやり取りって感じ。
SSLではその両方を使って暗号化通信をしているよ。まず、サーバーの公開鍵を使ってユーザー(クライアント)の共通鍵を暗号化してサーバーに渡し、その後、その共通鍵を使って暗号化通信をするんだ。
ニッコリー
ななこ
だから安全なのね。
安全の証拠、運営元確認と改ざん検知
SSLでは「暗号化」の他にも大切な役割があるんだ。それは「サイト運営元の確認」と「改ざんの検知」ということ。
ニッコリー
ななこ
いちいち確認が来るの? それって面倒じゃない? ずっとパソコンの前にいなくちゃいけないの?
そうじゃないさ。SSLでは信頼される第三者機関としての認証局があって、Webサイトの所有者がちゃんと実在していて、ドメイン名の使用権があるかなどを証明する「SSLサーバー証明書」を発行する仕組みになっているんだ。
ニッコリー
ななこ
証明書が送られてくるの? 毎回?
書面で来るわけじゃなく、データでね。それを利用者のブラウザで読み取って検証して、このサイトは安全、となれば暗号化して情報を送信することができるようになる。
ニッコリー
ななこ
そんなこと一瞬でやっているのね。頭いい~。改ざんの検知も毎回やっているの?
当然! 暗号化する時、ハッシュ関数という関数を使って、大きなデータを短いデータに要約するんだけど、そのデータが相手に渡った時に変わってしまっているようなら、通信途中で誰かが改ざんしたり手を加えたりしたということが分かるんだ。
ニッコリー
SSLはSEOにも効果あり?
ななこ
すご~い! 人間にもSSLサーバー証明書発行できないかな。そうしたらこの人はちゃんとしていますとか、嘘はつきませんとかが分かって、内緒の話も安心してできるから便利なのに。
お、なかなか鋭いところを突いてくるね。もうインターネットの世界では、SSLに対応していないサイトにアクセスしようとすると警告を発するブラウザが増えてるし、検索サイトの表示順位にも、SSLに対応しているかどうかが影響するようになってきているっていわれているしね。
ニッコリー
ななこ
それって、これからは、SSLを使っていないサイトは誰からも見てもらえなくなるかもしれないってこと? 大変じゃない! あ、でも、うちの会社のサイトもSSLサーバー証明書を取得できれば、安心安全なサイトの仲間入りができるってことよね。すぐ導入しなきゃ。認証局に電話しよっと!
おっと、もうちょっと冷静に。手続きも含めてもう少し知ってほしいことがあるんだよ。
ニッコリー
ななこ
んもう! もったいぶらないでよ。
まあ一息入れて、それからにしようよ。今回もまとめておいたからね。あ、そういえばななこちゃん、さっき「やっぱりサーバーを乗り換えないとダメなのかな」って言ってたけど、乗り換えるなら、サーバーとSSLサーバー証明書がセットになったものがオススメだよ。
ニッコリー
ニッコリーの知恵を借りて、より深くSSLについて分かってきたななこ。事件解決は目前ですが、この続きはまた次回。
