前回のコラム「第 52 回:あなたの会社の Web サイトは、お客様のブラウザからどのように見えてますか?」で、SSL 証明書の概要と種類についてご説明しました。今回は、SSL 証明書の正しい選び方について解説いたします。
SSL 証明書って、どこの認証機関を使っても、どのレベルの証明書を使っても、通信を暗号化できますので、全部同じと思われている方も多いかと思います。しかし、正しい SSL 証明書を選択していない場合、企業にとって大きなリスクを抱えることになりますので、注意が必要です。
2018 年 7 月に Google Chrome において、SSL / TLS 対応をしていない HTTP サイトのアドレスバーに、「保護されていません」と警告が表示されるようになったのがきっかけとなり、企業のセキュリティ意識も徐々に向上し、ホームページの常時 SSL 化が急激に浸透してきました。
すでに、インターネット上を流れるトラフィックの約 80 % は SSL 化されており、アクセス数 Top 100 万サイトのうち、約 60 % が常時 SSL 化に対応済みとなっています。
ところで、常時 SSL 化によって通信が暗号化されていれば「安全で安心」なのでしょうか。ドメイン認証(DV)は、フィッシングサイトに多く利用されているため、危険性が高いことは前回のコラムでご紹介しました。ドメイン認証(DV)、実在認証(OV)、Extended Validation 認証(EV)という認証レベルの違いの他に、重要なポイントが 2 つあります。
【ポイント 1】認証機関の信頼性は担保されていますか?
どの認証機関の SSL を使用しても暗号化通信は可能ですが、そもそも認証機関が信頼できなければ、暗号化通信の前提が崩れてしまいます。Web サイトを世界中のお客様から安心して利用していただくためには、グローバルに信用を得ている認証機関が発行する証明書を採用することが重要です。一例ですが、DigiCert(旧 Symantec)は、OV / EV 市場で 70 % 近いシェアを持ち、VeriSign 時代からの長年培った信用を持った認証機関です。このような信用度の高い証明書を採用することが、常時 SSL 化を進める企業 Web サイトの信用度を向上させることにつながります。
また、SSL 証明書の信用度で重要な点は、CA / Browser Forum の動向です。このフォーラムで、SSL の規約や方向性が議論され決定されるのですが、ここでの発言力が大きいか、リーダーシップをとれているかがポイントです。リーダーシップをとっている認証機関の SSL 証明書を採用していれば、仕様変更などがあっても安心です。
【ポイント 2】その暗号強度で安全ですか?
「SSL で通信を暗号化できます」は正解ですが、その暗号強度についての検討も重要なポイントです。一般的に、現在流通している SSL 暗号は、RSA が公開鍵暗号の基準であり、因数分解を利用して実装されています。しかし、コンピュータの性能向上とともに、暗号強度に不安が生じようとしています。量子コンピュータが実用化に近づくにつれ、その不安は現実のものとなりつつあります。
そこで、より強度の高い暗号アルゴリズム(楕円曲線暗号:ECC)を実装した SSL 証明書の提供がおこなわれています。楕円曲線暗号では、鍵サイズを大きくすると、解読の困難性が劇的に増加するという特性を持っています。例えば、Symantec の提供している一般的な証明書(セキュアサーバ ID)と ECC 対応の証明書(グローバルサーバ ID)では、64,000 倍の暗号強度が保証されています。また、ECC 鍵は鍵長が短いため、データ転送量が少なくなり、パフォーマンスの向上が見込めます。
また、2020 年初頭には、DigiCert(旧 Symantec)のグローバルサーバ ID には、量子コンピュータでも解読されにくい「耐量子コンピュータ暗号」(Post Quantum Cryptography:PQC)が実装されますので注目したいと思います。
2 つのポイントに絞って、SSL 証明書の選び方を解説しましたが、まとめると
- 認証機関の信頼性
信用度の高い認証機関の発行する SSL 証明書を採用することが、自社Webサイトの安全につながる。 - 強度の高い暗号アルゴリズム
金融事業者やカード決済、医療情報などの機微な個人情報を取り扱う Web サイトでは、
より暗号強度のある ECC や PQC 対応の SSL 証明書を採用することが、お客様を守ることにつながる。
なにかと詐欺や嘘の多いインターネットの世界で、お客様から自社 Web サイトの信頼を得ることが、これからの企業にとって欠かすことのできない課題になります。量子コンピュータに対応など、また新しい情報がありましたら、この場でお伝えいたします。
SSL 証明書に関しての解説は、こちらもご参照ください。
企業の Web サイトを守るためには、WAF 、改ざん検知、脆弱性診断 / 管理とともに、常時 SSL 化が必要不可欠となっています。
アイビーシーは、企業の Web サイトを守るためのセキュリティソリューションをご用意しておりますので、ぜひお問い合わせください。
by マーケティング統括部 マーケティング&コミュニケーション部 部長 岩本 幸男