今更聞けない!Googleも推奨するSSLとは?エンジニア入門〜セキュリティ編〜

1 4 B!7 0

こんにちは!ご無沙汰しています。ファングラーのエンジニア小野です!

前回は未経験から2ヶ月でエンジニアに!サーバ基礎編~Linuxについて~ということで、サーバの基礎について触れましたが、今回はネットワークについて触れていきたいと思います。

皆さんはSSL通信をご存知ですか?おそらく知っている方が多いことでしょう。
私はというと、つい最近まで知りませんで、意識もしていませんでした…
私と同じで知らなかった方、実はあなたもSSL通信したことあるんですよ?(たぶん…)それも一度や二度じゃありません!(た、たぶん…)
今回はそんなSSL通信についてご紹介させていただきます!

SSL通信ってなに?SSL通信とは、

「インターネット上でデータを暗号化して行う通信」のことです。

SSL1

SSLが暗号化技術の1つで、このSSLを用いて行う通信がSSL通信です。
ネット上にはたくさんの悪意あるユーザーがいます。
そういったユーザーに途中でデータを盗聴された時、中身を暗号化していれば解読できません。このための通信手段の1つとしてSSL通信が用いられています。

ちなみに、暗号化と復号化(暗号を解くこと)には鍵と呼ばれるものを使います。
鍵にも色々あるのですが、それ置いておいて、イメージとしては、
この鍵を通信する者同士だけが持ち合うことで安全な暗号化と復号化を行えます。
それはさておき、当事者同士しか解読できないので、SSLは「改ざん防止」にも役立ちます。

改ざん防止に役立つSSL

例えば、私がネットショップで1万円の服を1着買ったとします。
ところが私には100着分の購入完了メールが送られてきました。
「払えるわけがない…」
データが途中で改ざんされたと訴える私と、確かに注文を受けたと主張するネットショップ側…
こんな場面を防止するのもSSLの役割です。
改ざんするにも解読が出来なければ上手く改ざんしようがないですからね。
また、改ざんされたかどうかを知るための仕組みも備わっていて、万が一改ざんされても改ざんされたことは分かります。

SSL2

ですので、逆に言えば、SSLを利用していたにも関わらず、上のようなことが起きたら、
改ざんはされていない、つまり人為的な注文ミスであることが多いわけです。

どこで使われているの?

ネットショップで買い物をする時や、SNSなどにアカウント登録やログインする時など、
漏れると大変な情報をやり取りする多くの場所で使われています。

弊社ファングラーでもSSLが使われていますので見てみましょう。

まずは、SSLが使われていないページがコチラです。

funglr

そして、SSLが使われているページがコチラです。

funglr2

二つの違いはどこにあるのでしょう?
そうです、URLに違いがあります。
 
funglr3
URLがhttps://~で始まるページはSSL通信が行われるページの目安になっています。
おそらく今まで意識こそしていなかったものの、何万回ものSSL通信を私はしてきたんでしょう!!

他にもあるSSLの役割!

データのやり取りを暗号化しておこなった、途中で改ざんもされていない。
でも、そもそも相手が自分が意図していない相手だったとしたら…。
内容が酷似した偽サイトを相手と間違えてしまうことを防止する
これもSSLの暗号化の役割です。
SSL3
具体的には、SSLのデジタル証明書を用いて偽サイトでないことを証明するのですが、詳しい説明はまたいつか。
ぜひ、大事な情報をネット上で入力する際には「ここhttps://になってる?」と意識してみてください。

まとめ

今回はSSLについて簡単に紹介させていただきました。
世の中では、セキュリティに対する意識が高まってきていますので、個人情報や機微情報を扱わないようなWebサイトでもSSL導入が進んできています。
またGoogleもSSL化を推奨しており、フォームがない(個人情報を送信しない)ブログなどのWebサイトもどんどんSSL化が進んでいってます。

Google では過去数か月にわたり、Google のランキング アルゴリズムでのシグナルとして、暗号化された安全な接続をサイトで使用しているかを考慮に入れたテストを実施してきました。この実験ではよい結果が得られているため、ユーザーがもっと安全にサイトを閲覧できるよう、すべてのサイト所有者の皆様に HTTP から HTTPS への切り替えをおすすめしたいと考えています。

引用・出典:Google ウェブマスター向け公式ブログ: HTTPSをランキングシグナルに使用します

例えば、意識しないと意外と気付かないことかもしれませんが、Googleの検索なども全てSSL化されています。
上記は一例ですが今後更に、SSL通信は一般化していくでしょう。

また、SSL通信は通信を暗号化する仕組みですので、登録画面や、送信画面でSSLで暗号化した内容を、その後メールなどで平文のまま流すような事は避けましょう。
その他にも、個人情報を閲覧できるサーバにアクセスする際は、固定IPでアクセス制限を掛ける等、情報漏えいを防ぐ為に色々な手段を組み合わせて使うのが大切だと思います。