【プチセミナー/第一回】はじめて学ぶSSLマネジメント~SSLとは?~

最近ドメインネームの対応をすると、SSLのことで困ることが多くなっていませんか?その大きな理由はWhois情報が隠されてしまったから、というのが主たる原因ですが、よくよく考えると、SSLの実務って、「よくわからないメールが来たらシステム担当やウェブ担当に転送する」ということしかわかっていなかったりしませんか?

今回は、「SSLとは?」を中心に学んでみましょう!!  

SSLとは?

SSLは、Secure Sockets Layerの略です。インターネット上におけるウェブブラウザとウェブサーバ間でのデータの通信を暗号化し、送受信させる仕組みのことです。

インターネットにアクセスすると以下の鍵のマークを目にしたことがあると思います。

鍵のマークのついていないウェブサイトで入力フォームから情報を送った場合、もし情報が盗聴されてしまった場合には、通信した内容はすべて把握されてしまいます。そのため、googleのchromeでは最近「保護されてない通信」とURLバーに表示することでユーザーに注意喚起をしています。

  

SSLの役割とは? 

SSLの役割とはどういったものかというと、2つあります。1つ目が先ほど「SSLとは?」でお伝えした通り、データ通信の暗号化です。情報セキュリティの重要性が経営でも話題にされている中、非常に重要な対応事項であることが分かります。2つ目が情報の信用性です。情報は発信する人が誰なのかによって、その信頼度は変化します。同じことを言っても、誰が言うかによって変わることは言わずもがなです。この2つの役割があるからこそ、SSLを各社は利用しています。

  

SSLは3種類存在する

SSLには、DV、OV、EVの3種類が存在します。大丈夫です。この後略称の説明をしていきます。

DV(Domain Validation)は、ドメイン認証SSLと言われるものですが、発行スピードは非常に速いですが、ドメインの存在しか証明をしないため、SSLの2つ目の役割である「情報の信用性」がこの後の2つよりも劣ります。

OV(Organization Validation)は、企業認証SSLと言われますが、企業用のSSLとしては標準的なSSLとして知られています。SSLの発行に際して、DVの発行手順に加えて、企業が実際に存在することをSSL発行事業者が代表電話からドメインネーム担当に電話を入れます。(この時ドメイン担当が誰であるかの指定はもちろんできません。)このようなステップを踏むことで、DVよりも「情報の信用性」が高まることが分かります。ウェブサイトの表示も変わります。

出典:shiseido.co.jp

EV(Extended Validation)は、そのままEVSSLとよく呼ばれていますが、ひと昔前はURLバーが緑色になるという識別標識がありましたが、現在では下記のように鍵のマークをクリックした際に証明書の発行者が誰であるかを確認することができるようになっております。OVよりも簡易に情報発信者の確認ができるという利点があります。発行にあたってはサイン書類を必要とし、発行は厳格になっています。

出典:gmo-aozora.com

DVとOV/EVには大きな差があることが分かりますが、OVとEVには、ブラウザ各社の対応によって差が縮まっているという事実があります。

  

SSLは何に対して発行するの?

SSLの種類は分かりましたが、何に対して発行をするのかですが、FQDN単位で発行をします。

「FQDN??」

しっかりと説明をします。FQDNとは「Fully Qualified Domain Name」のことを言いますが、具体例で申し上げると、https://jp.globalsign.com/の「jp.globalsign.com」部分をFQDNと言います。サブドメイン+ドメインネームと覚えていただけるといいと思います。(サブディレクトリはSSLの範囲ではありません。例:https://jp.globalsign.com/contactus…

  

「例えば、service.jp.globalsign.com のように2階層サブドメインがあるときは?」とよくご質問を受けますが、2階層部分も含めてFQDNです。「3階層あれば?」はもう大丈夫ですね。以上がSSLの対象のお話しです。

  

SSLの発行手順って?

ドメイン担当として、メールの転送しか知らないと一体何をしているかが分かっていなかったかもしれませんが、ここでやっと意味が分かってきます。SSLの発行手順を追ってみましょう。

  

①SSLの目的をチェック

大きく仕分けると、SSLをウェブサイト用に利用するのか?内部のシステム用に利用するのか?で選択するSSLは異なってきます。ウェブサイトなら金融系なのか、コーポレートサイトなのか、具体的なシーンを思い浮かべましょう。

  

②SSLの種類を決める

ウェブサイト用に利用全般でいえば、OVやEVを選択することが多いです。最近ではSaaSのサービス上、DVしか発行ができないというケースもあります。企業がサイトを立ち上げる場合は、情報の信用を担保することも重要なため、OV以上を選択していると考えます。また、金融関連のウェブサイトはその情報の機密性と情報の信用を高く担保する必要があることからEVを通常利用します。

  

③ワイルドカード/SANSを利用する?

SSLは先ほど説明をした通り、FQDN単位で発行をします。しかし、その単位で発行をすると大量のSSLが必要となってしまうケースがあります。例えば、「jp.globalsign.com」「cn.globalsign.com」「us.globalsign.com」のようにサブドメイン部分が異なる場合には、ワイルドカードオプションというサービスを利用することで、証明書の枚数を減らし、コストを圧縮することができます。実際にこんなSSLの表示になります。

出典:dmm.com

*印がワイルドカードであることを示していて、サブドメイン1階層分であれば、発行したSSLをすべて適用することが可能です。ポイントは1階層分というところです。例えば、「service.jp.dmm.com」には適用できません。

もう一つご紹介するSANS(マルチオプション)は少し理解しづらいオプションですが、これも実例を含めてご紹介します。SANSとは、軸になるFQDNを決めて(例:toray.com)、その証明書に他のFQDNを相乗りさせていくことです(例:toray.us)。ウェブサイトに相互の関連性があるような場合には、こうしたオプションを利用することもあります。正直多用はされていません。その理由はSANSオプションで関連性が見出しにくいFQDNを乗せた場合、ユーザーが情報の信頼性を疑うことになってしまうためです。コスト重視もいいですが、信頼性の確保もバランスを見て利用することをお勧めします。

出典:torya.us

④CSRを用意

SSLを発行するためには、必要情報をCSRというものに落とし込み、それを基に証明書は発行がされます。その必要情報とは、次の通りです。

組織名(O)、部署(OU*任意記載事項)、国(C)、都道府県(S)、市区町村(L)

OUについては、不要であれば記載をいただかないように弊社ではしています。これは⑥で出てくる証明確認を減らすためです。後ほどご説明します。CSRとは具体的に以下のようなものですが、これを発行する方は、実際にウェブサーバーの運営に関わられている方(ウェブ制作者関係)です。知財担当で誰に聞いたら分からないというときは、ウェブ制作関係者に問い合わせをしましょう。

出典:グローバルサイン

上記は暗号化がされたもので、これを復号すると、先ほどのOやOUが読めるようになります。あまり細かく知る必要はありません。

  

⑤SSLの発行依頼

さて、いよいよSSLの発行の準備が整いました。通常であれば、SSL発行会社かその代理店に依頼をすることが多いです。弊社はGMOインターネットグループに世界に5つしか存在しない認証局であるGlobalsign社がおりますので、代理店としてこちらのSSLの発行を承っております。googleもroot認証局として採用するほど安定性の高い認証局としての地位があります。また、レジストラとしてドメインとSSLのことを熟知する者が発行対応できる企業はほとんどありません。

   

⑥SSLの種類に応じた証明確認

知財担当としてかかわるところは実はこのパートです。8つの工程の中で一番重要なパートです。このパートをスムーズに済ますかでSSLの発行リードタイムが大きく変わることになります。

証明書の種類に分けて必要な作業を確認していきましょう。

  

DVの場合

よくSSLを発行する際に、SSL発行確認のメールがドメインネームのWhois情報(アドミンコンタクト)宛に送られてくると思います。あれがDV発行のための認証です。

少し注意が必要なのは、Whois情報はヨーロッパの個人情報保護法(GDPR)の施行により、非公開となっています。したがって、現在メール認証は主流ではありません。にもかかわらず、レジストラで代理店をしているような企業はメール認証を選択していたりするので大変です。

現在一番主流で早くSSLを発行するには、DNS認証(ネームサーバー認証)という手段を利用します。ネームサーバーのレコードにSSL発行会社が発行した文字列を挿入することで、SSL発行会社はドメインのコントロール権限を持っているということを確認します。この認証を取れば、知財担当はこの認証に関わることはなくなります。是非DNS認証を進めてもらいましょう。

  

OVの場合

DVの時に必要な認証に加えて、電話での法人実在性確認がされます。この電話は帝国データバンクに登録されている代表電話番号からかかってきます。誰宛にかけるかというとドメイン担当です。(多くの場合知財担当がそれにあたるでしょう。)突然の電話でなんのことかが分からなくなってしまうことが多いので、SSLの発行時にドメイン担当は情報を前もって知っておく必要があります。この審査は非常に融通が利かず、折り返しの電話は不可となっています。それはなりすましの可能性を排除するためです。

この電話ですが、「組織名(O)、部署(OU*任意記載事項)、国(C)、都道府県(S)、市区町村(L)」の種類ごとに連絡をしてきます。先ほど後ほど話すといいましたが、100枚発行して100回電話がかかってきてしまっては大変ですので、任意記載事項のOUを無くすことで、電話の数は圧縮が可能です。

また、かかってきた電話を効率的に取り次ぐためにも、代表電話の方にドメイン担当の別電話番号を予め教えておき、そちらにかけるようにSSL発行会社にお願いすることでスムーズに実在性確認を終えることもテクニックとしては重要です。こういうことを教えてくれる代行会社は少ないです。

こういったことを知らずにSSLを発行していると、主たる業務が止まってしまい、不要な残業をする羽目となるので注意しましょう。

  

EVの場合

OVの時に必要なことに加えて、権限者の署名付き書類をSSL発行会社に送付することが必要です。実在性をとことん追求する認証です。

  

⑦SSLの発行

特段特殊なことはありません。SSL発行会社により発行された証明書がメールにて届きます。そちらをウェブ制作関係者に必要あらば転送をします。(通常、直接ウェブ制作関係者に連絡をすると思います。)

  

⑧SSLをサーバーにインストール

ウェブ制作担当が晴れてインストールが完了すれば、あの鍵マークのついたURLバーがお目見えです。

  

今日はSSLとは?をご紹介してきました。実務的な部分を具体的に書いている資料はあまりないと思います。是非具体的なイメージを沸かしてもらい、知財担当の関わっていたメール転送とは何だったのかをご理解いただければと思います。また、もしかすると仕事をわざわざ増やされていることにも気づくいい機会であったのではないでしょうか。

次回もお楽しみに!

  

   

  


〈ライタープロフィール〉
寺地 裕樹(てらち ゆうき)

GMOブライツコンサルティング株式会社
営業本部 IPソリューション部

情報セキュリティのリーディングカンパニーである株式会社ラックのシステムエンジニアとして3年間従事。その後、司法試験を経て、GMOブライツコンサルティングに参加。営業としてだけではなく、コンサルタントとしても企業のドメインネームマネジメントについて、日々お客様の悩みに向かい合っている。