~前回のお話~
西宮さんお疲れ様。例のルール作りの件、上層部から承認をもらったわ。
無事承認いただけてよかったです!ルール作りいよいよですね!
穏やかにスタートできるといいんだけど…とても嫌な予感がする。
え?嫌な予感ですか?
お疲れ様でっす!!!
これだわ。嫌な予感。
熱い歓迎ありがとうございます!広瀬です!
・・・
無視!?
まあまあ…広瀬くんどうしたの?
今回もドメインについて相談に来ました!
何かあった?
実は先輩から、newgenicのドメインにSSLつけてるのか?って言われまして。
えすえすえる?
そういや全然気にしてなかったなー、と思い出しまして。そもそもSSLって必須でしたっけ?
必須です!
やばっ!すぐに申請しなきゃ…!えっと申請先は…。
SSLの申請については、システム統括部に確認してみて。
了解しました!
毎回毎回、本当嵐かと思うわ…。
あの~すみません。SSLってなんですか?
あ、SSLのこと話してなかったか!ごめんね。じゃあ今日はSSLのことについてレクチャーしましょう!
お願いします!
まず、前提から話しましょう。Webサイトの中にはクレジット番号や、パスワード、住所・氏名など個人情報を入力するものがあるわよね?
はい。会員登録するサイトやショッピングサイトは個人情報の入力を求められることが多いですね。
SSL(Secure Sockets Layer)はね、 それらの情報を暗号化してくれるの。
暗号化?なんでわざわざ暗号にする必要があるんですか?
情報を暗号化しないと、下の図のようなことが起こる可能性があるのよ。
閲覧者が入力した個人情報が、第三者によって盗み見られている!!?
そう。SSLを実装していないと、Webサイト上で入力した個人情報が第三者によってそのまま抜き取られる恐れがあるの。個人情報が悪徳業者の手に渡った場合、クレジットカードの架空請求やスパムメールが送られてくるリスクが生まれるわ。
ひええ!怖すぎる!
それだけじゃないわ。悪意のある人間によってデータが改ざんされるリスクもあるの。
そんなぁ…。
このリスクを回避するために有効なのがSSLなの。
SSLを使うとどうなるんですか?
SSLを実装すると、万が一第三者に情報が見られることがあっても、その部分が暗号化されるから、実質的に盗み見や改ざんを防ぐことができるの。
なるほど。第三者が見たとしても内容までは把握できないんですね!
そういうこと。おっと、そういえば桐山部長から呼ばれていたんだった。ちょっと行ってくるね!
はい!ありがとうございました!
***
帰宅した結花は、早速颯希にSSLのことを話しています。
今まで全然気にしていなかったけれど、自分が閲覧するWebサイトがSSL化されているかどうか、確認するのも大事だってことだよね?
もちろん!
でもさ、自分が閲覧するWebサイトがSSL化されているのかどうかってどうやって確認するの?
具体例を見てみようか!お姉ちゃん、楽天市場のドメイン【www.rakuten.co.jp】をブラウザに打ち込んでみて。
OK!表示されたよ!
ここのURLが表示されているところに注目!なにか気が付くことはある?
むむむ…?うーん特には…。
じゃあ、今度は【www.npa.go.jp】を打ち込んでみて。ちなみにこれは警察庁のドメインね。さて、さっきの楽天で表示されたURLと違うところがあるんだけど、分かる?
あ!楽天のサイトは鍵マークが頭についてるね。警察庁のサイトは、鍵マークにバツがついている…?
そう!SSL化されているサイトは鍵マーク、SSL化がされていないサイトは頭の部分の鍵マークにバツがついているよ。ちなみにこの鍵マークにバツをクリックすると…
サイトの安全が確立してないよ!ってアラートが表示されるんだ~!
その通り。でもブラウザの種類やバージョンによっては鍵マークが表示されない場合もあるの。
ええ!?そしたらどうやって判断すればいいの?
もう一度、楽天と警察庁のドメインを見比べてみて。違いが分かるはず。
う~ん…?あ!最初の部分が違う!楽天はhttpsで、警察庁はhttpから始まっているね。
そう!ここで判断ができるの!httpsはSSLされているサイトで、httpはSSL化されていないサイトなんだよ。
なるほど!これなら判断できるね!
お姉ちゃんも今度からは、気を付けて見てみてね!
SSL化されていないサイトだったら、今度から怖くて接続できなくなっちゃうかも…!
お姉ちゃん、いいところに気が付いているよ!まさにそれが、SSLを実装しないことによって生じるデメリットのひとつだよ!
どういうこと?SSLを実装しないと、悪意を持った第三者から攻撃される以外にもデメリットがあるの?
お姉ちゃん、ユーザーの立場に立ってみて。個人情報を入力して会員登録をしなくてはいけないWebサイトで、【このサイトとの接続は安全ではありません。】なんて警告が表示されたらどう思う?
えええ!それはWebサイトを利用するのためらっちゃうね。信頼ができないWebサイトは嫌だもの。
だよね。つまりSSLを実装しないと、ユーザーからの信頼性が低くなる可能性があるんだよ。顧客離れは直接売上にもインパクトがあるし、死活問題に繋がる可能性もあるよね。
なるほど!SSL化はWebサイトの信頼性アピールにも使えるんだ!
その通り!
SSLを実装するのには、お金がかかるんだよね?
うん、価格はSSLの種類によって変わってくるよ!
SSLって種類がいくつかあるの?
うん!SSLはドメイン認証型、企業実在認証型、EV認証型があるよ。
うわわわ…名前だけで難しそう…。
ひとつずつ説明するから、大丈夫。まず、SSL実装までの流れを説明するね。
お願いします!
SSLは、専用の電子証明書をサーバーにインストールして、設定を行うことで実装されるの。
ふむふむ。
3種類のSSLは、電子証明書発行のために必要な手続きの部分がそれぞれ違うんだよ。
へえ!手続きが違うんだ!
まず、ドメイン認証型SSL。これは、個人でも法人でも取得可能だよ。ドメインの所有者であることを認証することによって、証明書を取得することができるよ。価格も3つの中では一番安価で、事務的な処理によって証明書は発行されるの。
手軽に証明書を取得することができるんだね!
ただし、裏を返せばドメインの所有者であれば誰でも簡単に取得ができるってこと。悪意を持った第三者だって、取得することは可能だから、Webサイトの信頼性向上という点ではメリットは少ないね。
なるほど。
次に、企業実在認証型SSL。これは、企業や団体のみ取得可能なSSLだよ。ドメイン認証型SSLと同様にドメインの所有者であることを認証したうえで、サイトを運営する企業・団体が法的に実在していることを認証するの。実在証明のために電話での確認が入るんだよ。
ドメイン認証型SSLの発行よりも、手間がかかるし審査が厳しいんだね。その分、信頼性も高いのか。
その通り!最後にEV認証型SSL。これはExtended Validationの略だよ。直訳すると、拡張検証だね。
拡張検証?
そ!3つの中で最も厳格に認証するSSLだよ。これも企業や団体のみ取得可能なの。企業や団体の実在性を、登記簿謄本などの公的な文書や第三者のデータベースから認証することで発行が許可されるの。最も厳格な審査を通る必要があるから、SSL証明書の中で信頼性はトップだよ。価格も一番高額だね。
なるほど…価格や目的を考慮して、SSLは選択する必要があるんだね。
そういうこと。
質問!SSL証明書はどんな単位で必要になるの?
SSLはFQDN単位で必要になるよ。
FQDN?
FQDNはFully Qualified Domain Nameを略したもので、絶対ドメイン名って呼ばれることもあるよ。
それってなあに?
FQDNは、トップレベルドメインから順番に、サブドメインなどを省略せずにすべて記載するドメインのことだよ。
ふむふむ…。
ここでは簡単に、SSLはWebサイト単位で必要になるってイメージしてもらえばいいかな。
えー!そしたらお金がかなりかかるよね…。
大丈夫!マルチドメインとワイルドカードを知っていれば、費用はぐっと抑えられるよ!
それってなあに?
SSLを実装するときに、費用を抑えられる方法だよ!
是非知りたい~♪ 教えて!
マルチドメインは、文字列やTLDが異なる複数のドメインをSSL化することができるの。ワイルドカードは、サブドメインが複数存在するドメインに対して、まとめてSSLを実装できる仕組みだよ。
本来はWebサイト単位で実装すべきSSLも、マルチドメインやワイルドカードを上手に使うことでコスト節約になるんだね!
そういうこと♪さて、今日はここまでにしよう!今回もまとめておいたから見ておいてね!
ありがとうございました!
最終話はこちらからチェック
登場人物は下をチェックしてね!
〈ライタープロフィール〉
千葉 やよい(ちば やよい)
GMOブライツコンサルティング株式会社
IPソリューション部/ドメイン担当
2012年に入社。 BRANTECT、商標コンサルタントを担当したのちドメインコンサルタントに就きました。ガイドラインや、ドメイン関連記事を作成しています。ドメインについては現在進行形で勉強中!初心者様にも分かりやすい記事作りを心がけています。趣味はゲーム、アニメ、散歩。
