ホームページのセキュリティを強化しよう

2018/11/16

Webサイトには、会社の大切な情報や個人情報を守ることが求められています。
インターネットの普及したことにより、様々な情報が電子化し便利になった一方で、個人情報漏えいのリスクも増えました。
情報を漏洩しない為に、Webサイトに求められているのがSSLの導入です。SSLを導入することでセキュリティ対策を強化することができます。
SSLといっても、利用用途などに様々な違いがあります。ここではSSLの種類や特徴についてご説明します。

SSLとは

SSL（Secure Sockets Layer)とは、Webサイトとそのサイトを閲覧しているユーザとのやり取り（通信）を暗号化するためのインターネットプロトコルです。
このプロトコルを実現するために必要なのがSSLサーバ証明書です。

SSLサーバ証明書とは？

SSLを利用するには、サーバにSSLサーバ証明書を導入します。情報を暗号化するSSLの機能に加え、ウェブサイトを運営する会社の身元を確認できる機能を備えた電子証明書です。
SSLサーバ証明書には、3種類有ります。
自分の運用するサイトの性質によって、選ぶSSLが変わってきます。

SSLの種類と認証レベルの違い

SSL証明書は、認証レベルの違う3つの種類「ドメイン認証SSL（DV SSL）」、「企業認証SSL（OV SSL）」、「EV SSL」に分けられます。
暗号化の強度は同じですが、認証レベルの高いものほどより厳格な審査となり、サイト訪問者へ信頼性の高さをアピールすることが可能です。

ドメイン認証タイプ(DV)

認証レベル１は、ドメインが認証されていることを示します。
ドメインの認証とは、サーバ証明書の所有者がコモンネームに含まれるドメインの使用権を所有していることを認証しています。
ウェブ掲載用のシールが提供されているサーバ証明書であれば、ウェブサイトがドメイン所有者または使用許諾者によって運営されていることを、ユーザへアピールできます。
認証手続きは、オンラインによる認証のため、即日発行も可能です。

認証レベル２企業認証タイプ(OV)

認証レベル２は、ウェブサイト運営組織の実在性が証明されています。
運営組織の実在性とは、コモンネームに含まれるドメインを所有し、法的に存在している企業や団体がウェブサイトを運営していることを証明しています。
インターネット上では、ウェブサイトの運営者が個人であるか法人であるか見えにくく、ユーザ（消費者）にとって不安となる要素の一つだと思います。
ユーザへの不安を取り除く要素として、運営組織の実在性を活用することができます。

認証レベル３ EV認証タイプ(EV)

認証レベル3は、新規格のEV認証タイプ(EV)になります。
EV認証タイプ(EV)のSSL証明書を導入したウェブサイトにアクセスした場合、アドレスバーは「緑色」に表示され、同時に企業名・認証局名も表示されます。
ユーザ（消費者）は、一目で本物のウェブサイトとして認識することができ、安心して買い物などをすることができます。
導入した企業はセキュリティ対策への取組みを強くユーザにアピールすることが可能です。
EV認証タイプ(EV)のSSL証明書は、日本の金融機関のほぼ全てに導入されている信頼感の高いSSLサーバ証明書です。
時代性からユーザの信頼感向上のために、2008年8月以降、ECサイト、企業サイトでも導入するケースが増加してきています。

一般的なSSL導入の流れ

CSRの作成

CSRとはサーバ上で作成するSSLサーバ証明書発行用の申請書のようなもの
Webページでお申し込み

お申し込みフォームに必要事項を記入し、申請を完了させる
書類の準備と送付

登記簿謄本、企業実印済みの申請書＆その実印の印鑑証明書の送付
SSLサーバ証明書の発行

所定のURLから証明書をダウンロード
サーバへのインストール

ダウンロードした証明書をサーバへ保存してインストール作業を行う

導入の注意点

SSL証明書には、有効期限があります。そのため、有効期限が近づいてきたら忘れずに更新する必要があります。更新用のSSLを新たに申請し、発行されたSSL証明書をWebサーバに再度インストールします。
企業認証SSLとEV SSLは、組織審査を再度実施することが多いため、期限切れ間近に更新手続きしても間に合わない可能性があります。多くの証明書は、期限切れの90日前から更新可能のものが多いので、早めに更新手続きすることをおすすめします。