ネットセキュリティ~ネットセキュリティとSSL~
- vol.31
- 日本ベリサイン株式会社 マスマーマーケティング部 マーケティングコミュニケーションズ 広報担当 井上晴司さん、山本三緒さん
取材対象者
(写真右) 日本ベリサイン株式会社 マスマーケット営業部 部長代理 井上晴司さん
(写真左) 日本ベリサイン株式会社 マーケティング部マーケティングコミュニケーションズ 広報担当 山本三緒さん
WEBデザイナーも基礎知識として知っておきたい、 SSL(Secure Sockets Layer)。
盗聴やなりすましの危険がない証し――ベリサインセキュアドシール
サイト利用の際にユーザーに発生するリスクには●盗聴(通信内容を他人に盗み見られる)●改ざん(通信内容が書き換えられてしまう)●フィッシング(ユーザーの目指すサイトに「なりすまし」個人情報を盗み取る)などがある。 そこで、ウェブサイトのセキュリティを高めるSSL(Secure Sockets Layer)サーバ証明書が必要になる。ベリサインは、そのSSLサーバ証明書の世界的ブランド。日本ベリサインは、世界最先端の技術やサービスを国や地域性などのロカールな事情に適合させ、安全なインフラを支える活動をしている。
(井上さん) すでに多くのネットユーザー、特にネットショッピングを頻繁にご利用される方であればかなり認知していただいていると思いますが、○にチェックが入ったデザインのアイコンがベリサインの証明書が発行されていることを示すベリサインセキュアドシール。ベリサインセキュアドシールは、ベリサインがサイトを運営する企業の実在性を確認していることの証ですし、ユーザーさんはこのシールがあることを確認して安心していただければと思っています。 ベリサインのサーバ証明書を導入済みのサイトにはベリサインセキュアドシールをご掲載いただくことができます。このシールには「クリックして検証」というボタン表示があるように、クリックするとサイト名や運営企業名、認証の有効期限などが確認できるようになっています。
より信頼性の高い「企業の実在性認証」で、暗号化による安全を保証。
やりとりする情報を盗聴や盗難から守るためには、暗号化が必要だ。その暗号化技術はPKI(Public Key Infrastructure)と呼ばれ、PKIによって安全なWEB環境を提供する。一般的に販売されているSSLサーバ証明書には●企業の実在性認証●ドメイン認証の2種類があるが、ベリサインの証明書はより信頼性の高い、前者「企業の実在性認証」である。システムによって自動化された一元的な管理で発行される「ドメイン認証」に比べ、申請者の在籍確認、意思確認までを専門スタッフの手によって行う、より信頼性の高いハードル――企業の実在性認証クリアの証としてベリサインセキュアドシールが発行されているのである。
(井上さん) 日本ベリサインは申請企業様の実在性を確認した後に、その証明書としてベリサインSSLサーバ証明書(ベリサインサーバID)を発行し、ベリサインセキュアドシールを提供します。 ネットショッピングやユーザーID、個人情報の入力を要するサイトには、もはや、個人情報保護のためにSSLサーバ証明書は必須と言っていいでしょう。 ベリサインサーバ証明書を取得しているページのタスクバー右下には、「鍵マーク」が出るので、そこで視認することもできます。アドレスバーのURLが「https」となっているのも同様の意味になります。
ネットセキュリティは基本知識であり、基本姿勢。
ネットセキュリティにおける情報管理は基本環境であり基本性能になりつつある。もちろん、セキュリティは突き詰めるとサイト運営会社の問題ではある。しかし、ウェブ構築にたずさわるクリエイターがセキュリティに無知で無関心というわけにもいかない。むしろ、カットオーバー後にどんなセキュリティ管理がなされるのかまで気にする姿勢、認識の甘いクライアントにアドバイスができる程度の知識を持ち合わせていることが望ましい。デザイン構築においても、ベリサインセキュアドシールの掲載スペースを確保することで、サイトのセキュリティに対する姿勢をアピールする事ができる。
(井上さん) 私たちには、ベリサインサーバ証明書の拡販と同じくらい重要な使命としてSSLそのものの啓蒙活動への責任があると考えています。啓蒙の対象は、サイトオーナーさんはもちろんですが、WEB制作会社さんホスティング会社さん、そしてWEBデザイナーさんも含まれてきます。 制作者さんからは、よく「登録フォーム等を制作する際、SSLにするのはフォームだけで良いのか?サイト全体をSSLにすべきか」という相談をいただきます。指針としては――暗号化通信のために最低限必要なのは登録フォームのプログラムをSSLとすることですが、それではユーザーからSSLセッションがはられているかどうかが分かりにくいし、登録フォームの入口ページのなりすまし状況が判別できませんので、登録フォームの表示ページはSSLにする必要があります。一般的なのは、同意書、登録フォーム、送信完了画面をSSLとするという方法ですね。サイト全体をSSLとするのも正しい対応ですが、サーバへの負荷が大きくなりますので、環境によっては必ず推奨するものではありません。 特にデザイナーさんに申し上げることがあるとすれば、ベリサインセキュアドシールを挿入するページのデザインを上手に作っていただけるとありがたいということでしょうか。時おり、「デザイン的に合わないので、入れたくない」という判断をされるケースがあるようですが(笑)、ユーザーの安全のために、できれば証明書の存在は、わかりやすく明記していただきたいというのが私たちの本心です。 業界では今、より信頼性の高い拡張された認証としてEV SSL(Extended Validation SSL)証明書の普及を始めていますが、EV SSL証明書を取得したサイトはアドレスバーそのものが緑色になります。今後はWEBデザイナーさんの色彩計画も、EV SSLの場合は上部に緑色があることを前提に進めることになるでしょうね。
【関連用語解説】 SSL(Secure Sockets Layer)とは インターネット上でデータを暗号化して送受信する方法のひとつ。IE(Internet Explorer)やNetscapeなどのSSLに対応したWebブラウザを利用して、SSLで保護されたサイトに接続すると、通信相手の認証が行われ、通信データが自動的に暗号化されるようになる。 現在、クレジットカード番号や個人情報を扱う多くのホームページでは、通信途中での傍受やなりすましによる情報漏洩を防ぐ目的で、SSLが利用されている。
PKI(Public Key Infrastructure)とは 公開鍵基盤/公開鍵暗号基盤。企業間取引などでインターネットを利用する際に付きまとう、なりすましや盗聴、改ざんといったリスクに対して、電子署名と暗号技術を兼ね備え、安全な電子通信を確保する。PKIの基本要素とは、●鍵と証明書のライフサイクル管理●認証機関(CA)機能●登録機関(RA:Registration Authority)機能●証明書の保管、運用管理用ディレクトリの維持●完全な証明書失効システム●鍵のバックアップとリカバリの仕組み●タイムスタンプ機能PKIの活用により、安全な電子メール(暗号化メール)、安全なインターネット通信(VPN)、安全なWeb、安全な電子商取引、安全なコンピュータを実現できる。PKIの適用分野および適用形態は、確実に広がりつつあり、電子署名法の施行(2001年4月1日)により日本でも本格的な活動が始まりつつある。