インターネット上でサービスを提供する場合、悪意ある第三者から顧客の個人情報を取られたり、情報を改ざんされたりして、企業と利用者の双方が損害を受ける可能性があります。
そうしたリスクの低減のためにSSL導入を検討する企業は多いものの、TLS・HTTPSとの違いやSSL証明書など、わかりにくい点が多いことから導入が進まないケースも見られます。そこで本記事では、SSLとは何かをわかりやすく解説したうえで、SSL導入に役立つ情報を多数紹介します。
SSLとは?基本的な仕組みとセキュリティへの効果
SSLとは「Secure Sockets Layer」の略語であり、インターネット上で行われる通信を暗号化する仕組みです。
たとえばインターネット上で、自社のサービスに顧客が名前や住所を書き込む必要があるとしましょう。SSLなどのセキュリティが導入されていない場合、悪意のある第三者は容易に顧客の個人情報を盗み見ることができ、情報を改ざんされてしまうこともあり得ます。
一方、SSLを導入していれば、データの改ざんやなりすましによる被害のリスクを減らせるため、企業側は安心してサービスを提供できます。顧客側も個人情報を取られたり、改ざんによる被害を受けたりせずに済みます。
SSLとTLS・HTTPSの違い
インターネット上の通信で起こり得る、なりすましや改ざん、盗聴などのリスクを低減する仕組みとして、TLSやHTTPSもあります。以下では、SSLとこれらの違いを解説します。
・SSLとTLSの違い
SSLは、インターネット上の通信における安全性を高める仕組みですが、利用される中でいくつかの脆弱性が発見されました。TLS(Transport Layer Security)は、このSSLの脆弱性を改善した後継プロトコルです。
SSLとTLSは、専門的に見ると暗号形式やメッセージの認証方式に違いがありますが、原理や仕組み上の違いはほとんどありません。ただ、SSLの脆弱性はTLSで改善されていることから、2025年現在すでにSSLは使用されなくなり、TLSに置き換わっています。しかし、「SSL」という名称が広く浸透していたため、実際にはTLSを使っているにもかかわらず、一般にはSSLと呼ばれたり、SSL・TLS、またはSSL/TLSと表記されたりしています。
TLSは1999年にTLS1.0がリリースされ、その後1.2、1.3とバージョンアップするごとに暗号化アルゴリズムは強固になり、脆弱性も改善されています。
・SSLとHTTPSの違い
HTTPSをわかりやすく解説するために、まずHTTPについて言及します。HTTPは「Hyper Text Transfer Protocol」の略語で、ホームページを表示するための通信規格です。
そしてHTTPSは「Hypertext Transfer Protocol Secure」の略語であり、SSLによって安全性を高めたHTTPです。HTTPは、SSLやTLSのように暗号化処理が施されていないので、悪意ある第三者に情報を盗み見られるリスクがあります。一方、HTTPSはSSL/TLSの技術を使って暗号化が行われるので、盗聴などのリスクを大きく低減できます。
HTTPSは安全性の確保に配慮されていることから、SEOにも好影響を与えるため、サイトを管理する企業にもメリットがあります。
SSL証明書の種類
SSL証明書(SSLサーバー証明書)とは、Webサイト運営元の実在を証明する電子的証明書です。SSL証明書の発行には審査があり、発行されるまでに数日かかるので、必要な場合は時間に余裕をもって申し込みを行いましょう。
SSL証明書は、認証レベルと保護できるドメイン数で分類されます。
・SSLの認証レベルの種類
SSLを認証レベルで分類する場合、以下の3種類に分けられます。
- ドメイン認証型(DV:Domain Validation)
ドメイン名の利用権があり、個人事業主の取得も可能です。また、安価で発行が早いなどのメリットもありますが、認証レベルはほかの2種類より低めです。 - 企業実在認証型(OV:Organization Validation)
ドメイン名の利用権があり、サイトを運営する組織の法的実在性を証明できます。証明書情報に企業名を記載できるので、Webサイトの信頼性向上に役立ちます。認証レベルはドメイン認証型より高く、EV認証型より低めです。 - EV認証型(Extended Validation)
ドメイン名の利用権があり、サイトを運営する組織が法的にも物理的にも実在することを証明できます。証明書情報に企業名を記載でき、世界基準の審査を必要とするので、3種類の中で最も高い信頼性をもちます。
・保護できるドメイン数による種類
SSL証明書は、保護可能なドメイン数によっても分類されます。
- シングルドメインSSL証明書
名称の通り、ひとつのドメイン上に存在するすべてのページを保護します。ただし、サブドメインの保護はできません。 - ワイルドカードSSL証明書
ひとつのドメイン上に存在するすべてのページを保護するうえ、関連するすべてのサブドメインの保護も可能です。 - マルチドメインSSL証明書
複数のドメインの保護が可能ですが、関連するサブドメインの保護はできません。
企業向けに適したSSL証明書の選び方
SSL証明書を認証レベルで検討する場合、サイトの規模や用途によって検討する必要があります。
ドメイン認証(DV)は、無料で証明書を発行できる場合があり、費用がかかってもほかの認証レベルより安価です。また、1か月単位での契約も可能なので、手早くSSL暗号化を行いたい個人事業主や、小規模のサイトを運営する企業に向いています。
一方、顧客データを扱うサイトや大規模なサイトを運営したり、サイトの信頼性を重視したりする場合、費用や審査の手間はかかるものの、企業認証型(OV)かEV認証を選択することを推奨します。
SSLの導入と設定方法
SSLを導入する際には、以下の手順が必要です。
- CSR(Certificate Signing Request)と呼ばれる署名リクエストを作成する
- 認証局にSSL証明書の申請を行う
- 認証手続きを実施する
- 審査や認証の終了後、SSL証明書が発行されたらインストールを行う
また、SSLの導入に際しては、CDN(Contents Delivery Network)やレンタルサーバーを使う手もあります。CDNを利用すると、Webコンテンツの配信効率が上がるほか、大容量の動画を配信する場合やアクセス集中時にも速度の低下が起こりにくいなど、多くのメリットを得られます。一方、レンタルサーバーを利用すると、サーバーをレンタルする企業のサービスを利用できることがメリットです。
なお、HTTPSのリダイレクト設定を行うと、HTTPにアクセスしたユーザーをHTTPSに転送できます。リダイレクトを行う場合、FTPソフトで.htaccessをダウンロードし、.htaccessに必要な記述を追加します。その後、FTPソフトで.htaccessをサーバーにあげれば作業完了です。
さらに、SSL導入後に混在コンテンツ(Mixed Content:SSLと非SSLが混在する状態)が発生した場合、Google ChromeであればChromeデベロッパーツールで該当箇所のHTMLを修正すれば、問題を解消できます。
SSL証明書の更新・管理のポイント
SSL証明書は、有効期限を過ぎるとサイトの安全確保ができなくなり、サイト閲覧ができなくなります。すると利用者が離れ、SEOの評価も下がってしまいます。そのため、SSL証明書が期限切れにならないようにすることが重要です。
SSL証明書の更新は、期限切れになる90日前から30日前まで可能なので、この期間に入ったら早めに更新しましょう。更新切れを避けるためには、スケジューラーなどで管理する方法もありますが、証明書の機能を使って自動更新することを推奨します。
また、SSL証明書のエラーには、期限切れのほかに設定不備や証明書の失効、証明書のドメイン名(またはホスト名)とコモンネームの不一致、混在コンテンツや危険性があるサイトに対する警告などがあります。各エラーや警告に対してはブラウザごとに対応が異なるので、使用するブラウザごとに対応を確認してください。
SSL証明書の改ざんリスク
SSLは、インターネット通信時の改ざんやなりすましなどを暗号化によって防ぎます。しかし残念なことに、どんなセキュリティ対策でもひとつの手法ですべての悪意に対応するのは困難です。たとえば、SSLのプロトコルに脆弱性があったり、SSL証明書自体が改ざんされたりするリスクもあり得ます。
そのため、SSLと併用してWAF(Web Application Firewall)を導入することがおすすめです。WAFは、Webアプリケーションの脆弱性を攻撃するウイルスやマルウェアへの対策として有効であり、SSLと併用することで安全性を強化できます。
最新のSSL技術
インターネット上の通信では、盗聴やなりすまし、改ざんなどによって、サイト運営者や利用者に被害を与える悪意ある存在が後を絶ちません。一方で、安全性の向上を目指す側も、常に新たな技術を生み出し続けています。
たとえば、TLSは1999年に1.0がリリースされて以来、1.2、1.3と進化を続けています。TLS1.3では、1.2より高速処理ができるようになり、脆弱性も改善されました。
しかし、2025年現在まだ登場していない量子コンピュータが使えるようになると、現在の暗号化は簡単に解読されると言われています。現時点ではまだ実現していないものの、将来的なリスクとして、量子コンピュータ時代にも対応できる暗号技術の開発が求められています。
まとめ
インターネットで通信を行う場合、盗聴やなりすまし、改ざんのリスクがあるため、SSLによる暗号化の技術が必須となっています。
SSLは認証レベルによっていくつかの種類に分かれ、手軽で安価なものから、高い認証レベルをもつものまで存在します。自社の目的やセキュリティ要件に応じて、適切なSSLを選定することが重要です。また、SSLの暗号化技術でもすべての攻撃に対応できるわけではないため、WAFの併用などでより高い安全性を確保することが推奨されます。
WAFの導入を検討するのであれば、シグネチャ方式とロジックベースの併用で安全性を高めた「Cloudbric WAF+」がおすすめです。「Cloudbric WAF+」については以下のサイトで詳しく解説していますので、ぜひご参照ください。