Webディレクター／マーケターはもう知らないでは済まされない！ SSL導入実践ガイド（2/4）

「SSL導入実践ガイド（1/4）」では、SSLが存在しないインターネットは危険であることを述べた。本記事では、もう少しSSLの基礎知識について理解を深めていく。また、よくある疑問や誤解についても解説する。

長い歴史を持つSSL

通信の安全性を確保するためのプロトコルであるSSLは、商用インターネットが普及しはじめた1995年にNetscape Communications社によって設計・開発された。いくつかの問題点を解消するバージョンアップを経て翌年にはSSL 3.0となり、それ以降多くのWebブラウザがサポートし、広く用いられている。

このSSLの正体はプログラム同士のデータ送受信（セッションの確立）に関する取り決めであり、「セキュア・ソケット・レイヤー」と呼ばれるように、通信の接続地点である「ソケット」に追加して、Webブラウズやメールの接続を安全なものにしてくれるものだ（01）。

SSLからTLSへ

その後、インターネットの標準化団体である「IETF（インターネット技術タスクフォース）」によって、SSLをベースとした「TLS（Transport Layer Security）」が策定され、現在の最新バージョンは「TLS 1.2」となっている（02）。これらを総称して「SSL/TLS」、または単に「SSL」と表記されることも多い。

2014年、SSL 3.0にプロトコル自体の脆弱性（POODLE攻撃）が発見され、安全性に深刻な問題性が生じた。そのためSSLでの通信をWebサーバ側で制限して、TLSのみの接続を許可するケースが増えてきた。その結果として、SSL非対応の携帯電話や初期設定でTLSが無効になっているWebブラウザの一部バージョンなどではWebサイトに接続できなくなるという事態も起きている。

このように、現状ではSSLからTLSへの置き換えが急速に進んでいる途上にある。本特集では「SSL」の呼称を用いているが、数年後にはセキュリティのプロトコルはTLSの表記が一般的になる可能性が高いと思われる。セキュリティ技術職以外のWeb担当者も今から用語の使い方には留意しておきたい。

さまざまな種類の暗号化

では、SSLの実際の働きを見てみよう。SSLを採用したWebサーバに利用者のWebブラウザから接続すると、通信相手と「暗号化」を開始するための手続きが行われる（03）。この暗号化によって、たとえデータの内容が途中から第三者によって覗かれたとしても、意味を読み取ることができない（解読するために天文学的な時間を要する）ため、安全に個人情報などのやりとりが行えるというわけだ。

暗号化の方式は利用目的によっていくつかあるが、一般的には暗号化するための鍵と解読（復号化）するための鍵が異なる「公開鍵暗号」方式を用いて通信相手を認証する。さらに、暗号化と復号化に同一の鍵を使用する「共通鍵」を生成することで、お互いに送受信するデータを暗号化して安全に通信できる環境が整うわけだ。

これだけ聞くと非常に複雑なやりとりをしていて、暗号化にはサーバもクライアントも処理能力が高くないといけないのではないかと思うかもしれない。しかし、セキュリティ専門家の園田道夫氏によると、実際には数学の理論を応用して処理の負荷が高まらないような工夫がされており、最近のWebサーバやデバイスであれば処理能力の面で問題になることはないという。もしWebサイト運営者として自社サーバの負荷が心配であれば、レンタルサーバのVPS（仮想専用サーバ）を使うという選択肢もあるという。

SSLの暗号化の基礎を理解したら、次は「認証」の機能について見ていこう。