情報セキュリティの基礎ホームページのHTTPS化について SSL / TLSとは

ホームページは規模やシステムに関係なくサイバー攻撃を受ける可能性があります。多くの場合、セキュリティ機能により防がれていますが、万が一、悪意のあるウイルスにサーバーやデータベースへの進入を許してしまうと事業所の信頼を著しく損ないかねません。今回は、Googleが推奨しSEO対策にも効果があるとされたことから、セキュリティー対策として一般的となったHTTPSについて紹介していきたいと思います。現在では大半のホームページがHTTPS化されていますが、まだまだ非対応のホームページも公開されているのでHTTPSの対応/非対応の見分け方も掲載しています。

サイバー攻撃とは

サイバー攻撃を受けると「システムの破壊」や「情報の流出・削除・改竄」が発生し直接的又は間接的に事業所に被害を与えます。
サイバー攻撃と聞くと大企業や行政機関を狙った犯罪といった印象を受ける方もいるかもしれませんが、現在、サイバー攻撃被害の半数近くは中小企業のホームページを対象としたものとされています。
中小企業のホームページがサイバー攻撃を受けている原因は大きく2つあります。それは「無差別型攻撃の増加」と「セキュリティ対策の未更新」です。
「無差別型攻撃」とは、攻撃対象を決めずにウイルスが無作為に辿り着いたホームページを標的としたサイバー攻撃です。「無差別型攻撃」が増えたことで規模に関係なく中小企業のコーポレートサイトがサイバー攻撃の対象となるケースが増えてきています。代表的な「無差別型攻撃」に、ブルートフォースアタック（ウイルスがログインページで行う総当たり攻撃）があります。
また、最新のセキュリティ対策を行っていないことが原因で従来のセキュリティ対策では防げないウイルスからの被害を受けるケースも増えています。特に、個人情報の通信が少ない中小企業のホームページだとセキュリティ対策を見直し更新する機会が少ないことが被害が拡大している原因とされています。

セキュリティ対策とは

ウイルスは、スマホやパソコンが通信している情報の中から個人情報を盗んだり、サーバーやデータベースに接続するための情報を取得してホームページを破壊することができます。
セキュリティ対策とは、この通信している情報にウイルスをアクセスさせない、仮にアクセスされても情報を暗号化してウイルスに解読できないようにすることです。

HTTPSとは

まず、HTTP（Hyper Text Transfer Protocol）とは、スマホやパソコンとサーバー間の通信手順としてインターネットの黎明期から存在していました。次第に、暗号化されていないHTTP通信がサイバー攻撃の対象となるケースが増えたことから、情報を暗号化し安心して通信を行うために「HTTPS（Hypertext Transfer Protocol Secure）」が開発されました。
ホームページをHTTPS化するためには、後述する「SSL（TSL）」を使用します。
これから、ホームページを制作する方は必ず「HTTPS」や「SSL」対応かを確認することをおすすめしています。

鍵マークを確認！

ホームページがHTTPS化しているか確認するためには、ブラウザのアドレスバーを確認することで一目で確認することができます。
ホームページのURLの前に鍵マークが付いていれば、閲覧しているページは常時SSL化されています。
逆にSSL化されていなければ「安全ではありません」という警告文が表示されるブラウザもあるので、ユーザーの離脱の原因にも繋がります。

常時SSL化とは

ホームページをHTTPS化することを「常時SSL化」と呼びます。
SSL化を行うためには、SSL証明書を発行してサーバーにインストールします。
そして、SSL化したサーバーにHTTPSに対応したホームページのデータをアップロードすることで、常時SSL化されたホームページを公開することができます。
ニュースで耳にすることの多い「パスワード」や「クレジットカード番号」が流出したサイトの多くが「常時SSL化」していないことで発生しています。第三者から大切な情報を守るためにも「常時SSL化」は現代のホームページ運営では必須の対応とされています。

SSL証明書

SSL証明書とは認証局から発行された電子証明書です。
SSL証明書には、ホームページの管理者情報や、暗号化キー、発行者の署名が含まれています。
SSL証明書の発行は、セキュリティレベルにより有料から無料のものまであります。

WordPressのSSL化

SSL証明書を発行したサーバーで、WordPressを使用したホームページを公開している場合「Really Simple SSL」というプラグインを使用することで簡単に全体をHTTPS化することができます。

TLSとは

TLS（Transport Layer Security）とは、SSLの脆弱性が修正された最新版の暗号化プロトコルです。
現在、SSLと呼ばれているものの中にもTLSを指しているものがあり、「SSL/TLS」と表記されることがあります。

WEBセキュリティ用語

近年では、ウイルスによる情報流出などのニュースを耳にする機会も多く、年々、WEBセキュリティへの関心が一般化しています。ここでは、WEBセキュリティに関する用語の一部を紹介しています。

ブロックチェーン

仮想通貨の存在が世の中に広がると同時期に耳にした方も多いと思いますが、ブロックチェーンとはネットワークを介して繋がっている複数のコンピューター同士が互いに情報を同期・記録し、正しい情報を管理することで、一部のコンピュータで悪意のある改ざんが行われても、多数派となる、その他のコンピューターの情報の方が正しいものとして採用されるため、嘘の情報や不正取引を防ぐことができるとされる技術のことを呼びます。

ファイアウォール

ファイアウォールとは、悪意のあるプログラムの侵入からコンピューターを守るためのシステムのことです。現代の多くのパソコンやスマートフォンに搭載されています。
ネットワークを通した通信がリクエストされた際に、その通信が正しいものか事前に判断することで安全な通信を行うことができます。

フィルタリング

セキュリティが破られるきっかけの多くは、メールに添付されたファイルを開いたり、サイトのリンクをクリックすることが原因です。
フィルタリングとは、このような、メールやサイトを事前にコンピューター側で察知しブロックすることができる施策です。

P2P（Peer to Peer）

一般的には、外部にあるサーバーがデータを保有・管理し、コンピューターのブラウザなどが欲しい情報をサーバーにリクエストすることで情報を閲覧・編集することができます。
この、一般的なクライアント・サーバ型モデルと違い「P2P」とは、限定的に許可したコンピューターのみが接続できるコンピュータや通信機器の名称「ピア」がデータを保持し、他のピアに対して対等にデータの提供および要求・アクセスを行う自律分散型のネットワークモデルのことを指します。

脆弱性（セキュリティホール）

プログラムのミスにより発生した情報セキュリティ上の欠陥のことを脆弱性（ぜいじゃくせい）又は、セキュリティホールと呼んでいます。
脆弱性のあるプログラムを使用していると、悪意のあるプログラムの標的にされ、不正アクセスされたり、ウイルスに感染したりするリスクがあります。

ペネトレーションテスト

ペネトレーションテストとは、セキュリティの脆弱性がないか実際のシステム侵入技術を使用して調査するテストのことです。

エクスプロイト

エクスプロイトとは、セキュリティの脆弱性からシステムを攻撃する悪意のあるプログラムのことを呼びます。
近い意味の言葉に「マルウェア」や「コンピューターウイルス」があります。

オンプレミス

オンプレミスとは、システムを管理・設置するサーバーを自社保有の設備で準備することです。
外部サーバーやクラウドよりもクローズドであるため、セキュリティレベルが高いとされています。

DPI（ディープ・パケット・インスペクション）

DPI（ディープ・パケット・インスペクション）とは、情報フィルタリングの一種です。
情報のやりとりと行う際に、悪意のあるコンピュータウイルスやスパムではないかを基準に照らして侵入検査を行うDPIは、企業や行政期間などでも使用されています。

スケーラビリティ

スケーラビリティという言葉自体は、システムの規模の変化に柔軟に対応できる範囲のことを指します。
セキュリティリスクは、システムの拡大とともに大きくなるため、システムの規模に適したセキュリティ対策が必要となります。

コモンクライテリア

コモンクライテリアは、世界20ケ国以上で取り入れられている情報セキュリティを評価するための国際規格です。
日本でも、高度なセキュリティ対策が必要とされる行政機関では、コモンクライテリアと同様の規格「情報技術セキュリティの評価基準」（JIS X 5070）に準じ、評価・認証取得されたIT製品やシステムを利用することが推進されています。

まとめ

セキュリティ対策には情報を守る役割に加え、ユーザーにホームページを安心して使用してもらう目的があります。 自社のホームページのアドレスバーに先述した「鍵マーク」が付いていない場合はお気軽にご相談ください。