AOSSLのすすめ　／　池内 正晴

1. AOSSLとは

 

　最近、GoogleやYahoo!などのサイトで、「AOSSLに対応しました」などという表記を目にした人は多いのではないだろうか。このAOSSLはAlways On SSLの略で、常時SSLという意味になる。

　SSLとはSecure Sockets Layerの略で、インターネット上の通信において、内容の暗号化や改ざんの検出および相手先の認証を行う仕組みである。

　これが使われている身近な例としては、インターネットバンキングのサイトがあり、ここではこのSSLが必ずと言って良いほど使われている。そのことによって、利用者が入力した振込金額や振込先の情報などが、インターネット上の通信において、第三者に内容が漏えいしたり、改ざんされたりせずに、自分の取引している銀行のサーバとやり取りできていることが保証されているのである。

　SSLは過去にNetscape Communication社が提唱し、これまで広く使われてきた仕組みである。しかし、現在ではSSLをベースにして発展したTLS(Transport Layer Security)という仕組みが実際に使われており、このSSLについては、様々な脆弱性が発見されているために、現在では使用を推奨されていない。そのため、ブラウザの詳細設定画面などを見ると、通常はSSLが使用不可でTLSを使用するように

設定されている。したがってAOSSLに対応するからと言って、SSLを利用可能とする設定は行わないでいただきたい。

　技術的にはTLSを使用しているのであるが、SSLの発展形であるとともに一般的にはSSLのほうが認知度が高いためTLSを含めてSSLと呼んでいることが多い。

（場合によってはSSL/TLSと記載されている）本文においてもSSLはTLSを含む広い意味での内容として記述とする。

 

 

2. SSLの利用

 

　インターネットでホームページを閲覧しているときにSSLを使用しているかは、ブラウザのアドレス欄を見ればわかる。通常の接続であれば、そこに表示されているアドレスは「http://～」のようになっているが、SSLを使用している場合は「https://～」のようにhttpの後にsが付いていることにより判別できる。また、ブラウザによってはアドレス欄の横に鍵（南京錠）のマークが表示されたり、「保護された通信」といった表示がされることによっても確認ができる。この状態であれば、ホームページを提供するサーバと利用者のブラウザとの通信は、暗号化されて改ざんされていないことが保障されている。

　SSLの使用可否は、ホームページ等のデータを送信するサーバと利用者のブラウザの設定内容の両方によって決まる。しかし、ブラウザについては現在利用されているほぼすべて物がSSL対応可能であるため、実質的にはサーバ側にSSL通信を行うための設定があるかによって決まるのである。

　では、実際にインターネットバンキングを行う際に、このSSLを使用している表示があれば安心して利用できるのであろうか。SSLの表示があれば、通信経路が暗号化されて改ざんされていないことが保障されるのではあるが、パスワード等を送信した先のサーバが自分の取引している銀行の物ではなく、それを似せたページを表示できる悪意をもった第三者のサーバであった場合は、パスワード等の情報を盗まれてしまう。偽物のサーバであってもSSLを使用した通信を行うことは可能なのである。

　ここで有効となるのは、SSLのもう一つの機能である「相手先の認証」である。SSLを使用した通信を行っている場合は前述の通り、ブラウザに鍵マークなどが出ているので、この部分をマウスでクリックしてみてほしい。そこで証明書の表示を選ぶと、どの認証機関がどこのサイトに与えた証明書であるかが書かれているので、これを確認することにより、正しいサイトに接続しているかを確認することができる。

 

3. 常時SSL

 

　SSLはインターネット上で安全な通信を行うために有効な仕組みであるが、これまではインターネットバンキングのページなど、重要な情報をやり取りするページのみSSLデー通信を行うケースが大半であり、同じ銀行のページでも企業概要やサービス案内のページではSSLが使われていないことが多い。また、製品情報などを掲載することが主目的となる一般企業のホームページなどでもSSLが使われてい

るケースは非常に少ない。

　その主な理由としては、SSLを使用することにより通信のたびに送信側で暗号化して受信側で復号化するという処理を行う必要があるため、処理が遅くなるということと、SSLを使用するためには相手先認証のための証明書を信頼できる発行機関より一定期間ごとに取得しなければならないため、その費用がかかるという点があげられる。

　しかし、近年のコンピュータ性能の向上により、SSLによる通信の暗号化・復号化の負荷はあまり気にする必要がなくなってきた。また、証明書についても必要とする認証レベルに応じて安価なものも選択できるようになってきた。（安価なものはサイトの存在だけを認証するだけなので、SSLに必要となる信頼性に応じて企業の存在と実在までを確認するレベルの高い証明書を取得する必要もある）

　広く一般に情報公開をする企業の製品情報のページなどは暗号化する必要がないのでSSLの必要はないと考えられるかもしれないが、ホームページの閲覧者に対して、正規の発信元から改ざんされることなく正しい情報が届いていることを保証するためにSSLを利用することは有効である。

 

 

4. 今後の展開

 

　ホームページのデータをブラウザに送信する仕組みについては、現在のHTTP/1.1からHTTP/2への移行が進んでおり、サーバとブラウザ間の通信方式が大きく見直され、ホームページの表示が高速化することが可能となる。しかし、実質的にこの高速化できる通信方式はサーバとブラウザがSSLを利用して通信していることを前提としているのである。したがってSSLは、利用者が快適にホームページを閲覧するために必要となる条件の一つになるのである。

　また、現在はホームページ閲覧に関してSSLの利用が少数派であるため、SSLを利用しているとブラウザ上では、「安全な通信」というように特別表示されているが、SSL通信が多数派になってくると、ブラウザ上ではSSLを使わない通信が「安全ではない通信」として特別表示されることが考えられる。

　さらに、Googleなどの検索エンジンのSEO（検索順位）についても、SSLを使用しているサイトは、安全なサイトとして順位を優先するということが発表されている。

　これらの内容を考え、現在ホームページをお持ちの企業の方々は、ぜひAOSSL化を検討いただきたい。

 

------------------------------------------------------------------------

■執筆者プロフィール

 

池内　正晴　（Masaharu Ikeuchi）

 

学校法人聖パウロ学園

　　　　光泉中学・高等学校

ITコーディネータ