【図解】SSLとは？SSL/TLSの仕組みについてわかりやすく解説します

SSLはインターネットにおいて私たちの最も身近にある暗号化技術ですが、概要や仕組みを知らないという方は少なくないでしょう。SSLはデータの暗号化だけが役割でなく、Webサイトのなりすましやデータの改ざんも防ぐことができます。

SSLを活用したり導入したりするためには、SSLに関する基本的な知識が必要です。この記事では、SSLとは何かやSSLに期待される役割、SSL導入のメリット・デメリットといった基本知識を解説しています。

本記事を読むことで、これまで以上にSSLを活用できたり、自分で導入のための手続きを開始できたりするようになるでしょう。

SSLとは？HTTPSとは？ | インターネット上の通信を暗号化する技術

SSLとはインターネット上の通信を暗号化する技術として、最もよく使われている種類です。Webサイト閲覧時やスマートフォンアプリ利用時の通信、メール送受信の際など、SSLが使われるシーンは多くなっています。

SSLはわたしたちがインターネットを使ううえで、最も身近な暗号化技術といっても過言ではないでしょう。インターネットを使う限り、私たちがSSLに触れない日はありません。SSLを使うことで通信を暗号化し、安全にデータのやり取りをすることができます。

一方HTTPSとはユーザーがWebサイトを閲覧する際に、SSLを使って通信を暗号化する技術です。HTTPSが使われたWebサイトの場合、Webブラウザのアドレス欄に「https://～」からはじまるURLが記載されます。

そのためユーザーは「HTTPSを使って暗号化されているのだな」ということが、一目でわかるわけです。

暗号化しないインターネット上の通信が危険である理由

SSLのような暗号化技術を使わなければ、インターネット上では暗号化されていない状態で全てのデータがやり取りされることになります。個人的に送ったメッセージやビジネスメール、クレジットカードの情報などが全て誰でも読める状態でインターネットに流れるのです。

たとえていうとショッピングモールや駅前など人が集まる空間で、クレジットカード番号を口ずさむようなものといえばわかりやすいでしょう。悪意のある第三者は特別な技術を使わなくても、耳を傾けさえすれば簡単にクレジットカード番号を把握できるのです。

インターネットはショッピングモール・駅前などと同様に、多くの人が集まる公共的なデジタル空間と言えます。そのためインターネット上で誰にもデータを盗み見られることなく安全にやりとりするためには、SSLのような暗号化技術が必須なのです。

SSLでなく「SSL/TLS」と表記される理由

SSLは「SSL/TLS」と表記されることが多くなっています。暗号化技術である「SSL」と単体で表記されるのでなく、「SSL/TLS」と表記されるのはなぜでしょうか。

実をいうとSSLは古い規格であり、実際には今使われていません。現在SSLと呼ばれ使われている技術のほとんどは、TLSと呼ばれるSSLの次世代技術です。

SSLは1990年代の中ごろから、インターネット上の暗号化技術として広く使われてきました。しかしSSLに致命的な脆弱性が発見されたことで、現在では使われなくなったのです。その代わりに、SSLの次世代規格であるTLSが使われています。

TLSが開発され広く使われるようになってからも、暗号化技術として一般化していたSSLという名称は消えなかったのです。TLSはSSLを継ぐ技術であり、なおかつSSLという言葉が定着していてわかりやすいことからSSL/TLSと並べて表記されています。

SSLによりWebサイトが偽物でないか確かめる方法もある

SSLによって、そのWebサイトが偽物でなく本来の所有者によって公開されたものかを確かめることも可能です。昨今では有名サイトを騙る偽サイトが少なくありません。SSLを使えば、そのWebサイトがそういった偽サイトでないと証明することもできるのです。

たとえばChrome（バージョン137の場合）であれば、以下手順で確かめることができます。

1. アドレスバーのうちURLが表記された左側の部分をクリックする
   
2. 表示されたメニューから「この接続は保護されています。」をクリックする
   
3. 遷移後のメニュー画面で「証明書は有効です」をクリックする。
   
4. 証明書ビューワーが表示され、発行元（Webサイトの所有者）を確認できる
   

上記キャプチャは「www.kagoya.jp」の所有者が確認できる証明書です。発行元の組織として「カゴヤ・ジャパン株式会社」と表記されているのがわかります。

SSLの役割 | SSLで対策できる3つのリスクとは？

SSLは暗号化によってどのような役割が期待されているのでしょうか。ここではSSLにて対策が可能な、3つの代表的なリスクをみていきましょう。

データの盗聴 | インターネット上の通信を盗み見ること

インターネット上で送受信されるデータは、暗号化がおこなわれない限り誰でも読める「平文」という状態になっています。そのため悪意のある第三者は、それほど高い技術がなくても簡単にその内容を盗み見ること（データの盗聴）ができてしまうのです。

SSLで暗号化すれば、インターネット上で通信されるデータは外部から参照できなくなります。これによって、データの盗聴を防げるようになるわけです。

なりすまし | 偽Webサイトになりすまし、個人情報などを盗むこと

なりすましとは悪意のある第三者が正規のWebサイトに似せた偽サイトを構築し、アクセスしてきたユーザーを欺く攻撃です。偽サイトにアクセスしたユーザーは、正規のWebサイトへアクセスしているつもりで個人情報やクレジットカード情報を送信してしまいます。その結果、悪意のある第三者にその情報が盗まれ、悪用されてしまう可能性があるわけです。

所有者の証明が可能なSSL用の証明書を使えば、ユーザーは証明書を頼りにそれが正規のWebサイトであると判断できます。一方で偽サイトの方は、正規のWebサイトと同じ証明書を導入できません。そのためSSL用の証明書により、正規のWebサイトであると証明できるのです。

データの改ざん | インターネット上の通信を不正に書き換えること

データの改ざんとは、WebサーバーとWebブラウザ間の通信内容を不正に書き換えてしまうことです。SSLでデータを暗号化すれば、悪意のある第三者は通信内容を盗聴できません。また仮に改ざんしたデータを送信しても、SSLが設定されていればそのことを検知できます。そのうえで改ざんの疑いがあるデータを破棄し、改めてデータを送信するよう要求できるのです。

SSLを導入するメリット

SSLを導入するメリットは、暗号化によってセキュリティを高めるだけではありません。それによって別のメリットも生じるのです。以下、SSLを導入することでどのようなメリットがあるかみていきましょう。

セキュリティを高めて安全にデータを送受信できるようになる

SSLを使えば、送受信されるデータが暗号化されます。またWebサイトの所有者であることの証明も可能です。SSLの導入により、通信内容の盗聴・改ざん、なりすましといった被害の対策になります。その結果、セキュリティが高まり、安全にデータを送受信できるようになるのです。

サーバーの信頼性を高め、ユーザーに安心してもらえる

SSLが導入されていればセキュリティが高まり、ユーザーも安心してそのサーバーを利用できるのは言うまでもありません。

たとえばWebサイトであればURLが「https://…」からはじまるため、ユーザーもSSLが導入済であることをすぐ把握します。自分の通信内容がSSLで暗号化されていることがわかるので、安心してそのWebサイトに対しデータを送信できるわけです。

SSLによって安心してデータを送受信できるのであれば、ユーザーにも信頼されやすくなります。

Webサーバーに導入すれば、SEO対策にもなる

2014年8月、検索エンジン最大手「Google」は、WebサイトのSSL対応有無が検索順位に影響するようになる旨を発表しました。Googleは公式で、SSLに対応しユーザーが安全に使えるWebサイトをSEO的に優遇すると述べたのです。

裏を返せば、未だにWebサーバーがSSLに対応していなければ、そこで運用されているWebサイトはSEOの面で不利になります。WebサーバーのSSL対応は、SEO対策としても重要な要素になったのです。

SSLを導入するデメリット・注意点

SSLを導入するメリットは多いですが、良いことばかりではありません。SSLを導入する際は、ここで紹介するデメリット・注意点も覚えておきたいところです。以下、SSLを導入する主なデメリット・注意点をみていきましょう。

SSLを導入・維持するためのコストがかかる

SSLを導入するためには、SSLサーバー証明書を購入しなくてはなりません。SSLサーバー証明書は0円や年間数千円程度で使えるものから、年間数十万円かかる種類まであります。またSSLサーバー証明書は有効期限があり、維持費用として0円～数十万円/年超も必要です。

SSLを導入するのに専門的な知識と技術が必要

SSLを導入するためには、一定の専門知識が求められます。たとえばWebサイトをSSL化する場合は、Webサーバーの設定やリダイレクト設定のほか、Webコンテンツの修正などの作業が必要です。専門知識がある管理者が自社にいない場合、外部の業者に依頼した方がよいかもしれません。

SSL暗号化によって、通信が遅くなる場合がある

SSLを導入した場合、データを暗号化する作業が加わる関係で通信が遅くなる可能性があります。たとえばWebサイトにSSLを導入すると、Webサイトの読み込みがSSL導入前に比べ遅くなる可能性があるのです。

ただ昨今では技術が進歩しており、ほとんど気にならないレベルにはなっています。

SSLによる暗号化にも限界はある

SSLによって送受信されるデータを暗号化できますが、限界がある点は把握しておかなくてはなりません。

たとえばSSLでデータが暗号化されても、通信先のIPアドレスやデータ量までは暗号化されません。それら情報により、たとえば「このWebサイトをみているようだ」といった情報が、推測される可能性はあるのです。

またサーバー攻撃によっては、SSLで防ぐことはできません。たとえば悪意のある第三者が既存のWi-Fiに偽装したWi-Fiスポットを設置します。

ユーザーがその偽Wi-Fiスポットへ接続しSSL通信を行った際に、悪意のある第三者は通信内容を傍受しSSLを解除できる場合があるのです。これによって、ユーザーはSSL通信をおこなったつもりであるにも関わらず、通信内容を盗聴されてしまう可能性があります。

このケースでは、ユーザーは偽のWi-Fiスポットに接続しないよう注意しなくてはなりません。このように、SSLだけではデータの盗聴などを防げないケースもあり得るのです。

SSLによる暗号化通信に必要な「SSLサーバー証明書」「認証局」とは？

SSLの仕組みを理解するためには、まずSSLを実現するのに必要な「SSLサーバー証明書」「認証局」について知っておかなくてはなりません。以下、それぞれどういうものかみていきましょう。

SSLサーバー証明書

SSLサーバー証明書とは所有者が実在していることを証明し、SSLによる通信を実現するのに必要な電子証明書です。SSLサーバー証明書には所有者の情報や、SSLによる暗号化通信で必要となる公開鍵が含まれています。

認証局

認証局（CA/ Certificate Authority）とは、SSLサーバー証明書を発行する信頼性の高い機関です。認証局はSSLサーバー証明書を発行する際に、申請元の企業・個人が実在するかなどを確認します。

SSLサーバー証明書の種類と選び方

SSLサーバー証明書には複数の種類があり、利用用途によってえらべるようになっています。SSLサーバー証明書の種類は以下のとおりです。

種類	ドメイン認証型 (DV)	企業認証型 (OV)	EV認証型 (EV)
証明する内容	・申請者が対象ドメインを所有していること	・申請者の組織が法的に存在すること ・その組織が対象ドメインを所有していること	・申請者の組織が法的に存在すること ・その組織の所在地や事業の実態、申し込みの意志など ・その組織が対象ドメインを所有していること
認証レベル	低	中	高
対象者	個人・組織	登記済の組織	登記済の組織
発行にかかる時間	数分～即日	数日～1週間程度	1週間～数週間
導入費用/維持費用(年額)の 主な価格帯	0円～数万円程度	数万円～10万円超	10万円超～数十万円程度

SSLサーバー証明書の商品例としては、以下の通りです。

商品名	種類	ワールドカード 対応	マルチドメイン 対応	サイトシール
Let’s Encrypt	ドメイン認証（DV）	○	○	×
Rapid SSL	ドメイン認証（DV）	○	○	×
ジオトラスト クイックSSL プレミアム	ドメイン認証（DV）	○	×	○
GMOグローバルサイン クイック認証SSL	ドメイン認証（DV）	○	○	○
JPRSサーバー証明書　ドメイン認証型(DV)	ドメイン認証（DV）	×	○	○
JPRSサーバー証明書　ドメイン認証型(DV) ワイルドカード証明書	ドメイン認証（DV）	○	×	○
サイバートラスト Sure Server	ドメイン認証（DV）	○	○	○
ジオトラスト トウルービジネスID	ドメイン認証（DV）	○	○	○
セコムパスポート for Web SR3.0	ドメイン認証（DV）	×	○	○
GMOグローバルサイン 企業認証SSL	企業認証（OV）	○	○	○
デジサート セキュア・サーバID	企業認証（OV）	○	○	○
デジサート　グローバル・サーバID	企業認証（OV）	×	○	○
JPRSサーバー証明書　組織認証型(OV)	企業認証（OV）	×	○	○
JPRSサーバー証明書　組織認証型(OV) ワイルドカード証明書	企業認証（OV）	○	×	○
サイバートラスト Sure Server EV	EV認証（EV）	×	○	○
GMOグローバルサイン EV SSL	EV認証（EV）	×	○	○
セコムパスポート for Web EV2.0	EV認証（EV）	×	×	○
ジオトラストトゥルービジネス ID with EV	EV認証（EV）	×	○	○
デジサート セキュア・サーバーID EV	EV認証（EV）	×	○	○
デジサート グローバル・サーバーID EV	EV認証（EV）	×	○	○
デジサート セキュア・サーバーID EV ワイルドカード	EV認証（EV）	○	×	○

さらに詳細な情報はKAGOYAのSSLサーバー証明書のページにてご紹介しております。

SSLサーバー証明書にはご覧の通りたくさんの種類があるので、ポイントをおさえて選ぶ必要があります。SSLサーバー証明書選びの主なポイントは以下のとおりです。

認証レベル

企業であれば、組織の実在証明が可能な企業認証（OV）かEV認証（EV）が推奨されます。そのうえで、なりすましサイトのリスクを軽減したいのであれば、より信頼性の高いEV認証（EV）を選択した方がよいでしょう。

実際、金融機関など特に信頼性が求められるWebサイトではEV認証（EV）が採用されているケースが多いです。ただし企業認証（OV）に比べ、EV認証（EV）はコストが高くつく点は否めません。予算も含め、どちらにすべきか検討する必要があります。

ワイルドカード/マルチドメイン対応

ワイルドカード対応であれば「*.example.com」のように、SSLサーバー証明書を使うサブドメインをアスタリスクで指定できます。アスタリスクで指定可能なドメイン間で、1枚のサーバー証明書を共有できるのです。またマルチドメイン対応であれば、複数のドメインで1枚のサーバー証明書を共有できるのでコストの節約になります。

SSLサーバー証明書を使うドメイン・サブドメインが複数ある場合は、ワイルドカードやマルチドメイン対応もチェックしましょう。これらに対応する商品を選ぶことでコストを大幅に節約できる可能性が高いです。

証明書の取得にかけられる予算

SSLサーバー証明書は商品によって価格がまちまちです。

価格が高い方がより信頼性が高くなる傾向にありますが、SSLサーバー証明書にかけられる予算は企業によって異なります。自社の予算にあう商品を選びましょう。

証明書の取得にかかる工数

EV認証（EV）は認証レベルが高い分だけ、取得にかかる手続きが増えるのは否めません。

サーバー証明書の取得に手間をかけたくない場合は、企業認証（OV）かドメイン認証（DV）が選択肢となります。

SSLによる暗号化の仕組み・流れ

SSLによる暗号化通信は、特定の端末とサーバー間でのみ利用が可能な共通鍵によって実現されます。それぞれが自分たちだけで使える共通鍵を使い、送受信されるデータを暗号化するため外部から盗聴できなくなるのです。

共通鍵を使ったSSLによる暗号化通信は、以下の手順で実現されます。

1. 端末がサーバーにSSL通信を要求すると、サーバーはサーバー証明書を端末へ送信します。
2. 端末は公開鍵を使って共通鍵を作成し、それをさらに公開鍵にて暗号化してサーバーへ送信します。
3. サーバー側は暗号化された共有鍵を秘密鍵にて復号化します。
4. 端末とサーバー間で互いに送受信するデータを共通鍵で暗号化します。これでSSLによる暗号化通信が実現するのです。

SSLを導入するおおまかな手順

ここでは、SSLを導入するおおまかな手順を見ていきましょう。

SSLを導入するには、SSLサーバー証明書を購入しサーバーへインストールする必要があります。SSLサーバー証明書を販売しているのは、電子証明書の発行が認められた認証局です。

※KAGOYAのSSLサーバー証明書のように、コントロールパネルからの簡単操作で導入できるケースもあります。

これで、SSLによる暗号化通信の導入が完了です。

まとめ

SSLはインターネット上の通信を暗号化する際に、最もよく使われる技術です。通信データを暗号化できるSSLはデータの盗聴を防ぐだけでなく、Webサイトのなりすましや通信データの改ざんも防げます。また今ではSEO対策のためには、SSL導入は重要な対応のひとつです。

SSLを導入するためには、SSLサーバー証明書を購入する必要があります。

カゴヤのSSLサーバー証明書プランでは、豊富な種類のなかから用途に合わせて自社に合うサーバー証明書を選択可能です。以下公式サイトで、本プランで扱う証明書の種類を紹介しておりますので、興味があればぜひご覧ください。

＞KAGOYA SSLサーバー証明書