Dental Life Design

あなたのデンタルライフを彩るメディア

【緊急】あなたの歯科診療所のWEBサイトが
『危ないサイト』になる Vol.2

2018/3/9 デンタル〇〇デザイン

SSLの機能

歯科医院サイトをSSL化する話に入る前に、まずはSSL通信で提供される機能について簡単にご説明しておきましょう。 SSL通信で提供される機能は大きく分けて次の2つに集約する事ができます。 ・通信の暗号化 ・Webサイト運営主体の実在証明 最初の暗号化については最初にご説明した通り、通信内容を盗聴されてもその内容を知る事はできないといった秘匿性の確保のほかに、通信内容の完全性の確保、つまり改ざんができないようにするという機能があります。 「盗聴とか改ざんなんて仰々しい」そう思われる方も多いとは思いますが、最近はWiFiの普及により誰もが自由に使用できるホットスポットが至る所に設置されています。 しかしこれは同時に通信が盗聴されたり改ざんされたりする危険性が増大している事をも意味します。 WiFiへの接続方式もまた様々ありますが、パスワード無しで接続できるようなホットスポットへの接続には細心の注意が必要です。 パスワード無しのWiFiの通信内容は、誰でも入手可能な機器とソフトウェアを使用して、簡単に読み取る事が可能なのです。 SSLの2つ目の機能は、アクセス対象のWebサイトが本物であることを証明するものです。 フィッシング詐欺によりネットバンクのIDとパスワードを盗まれたというようなニュースを見聞きされた事のある方も多いかと思いますが、こうした被害は本物そっくりに作られたニセモノのWebサイトに誘導されてIDやパスワードを入れてしまう事により起こるものです。 WebサイトのSSL化にあたっては、認証局と呼ばれる「信頼される第三者」にSSL証明書を発行してもらう必要があります。 証明書の種類にもよりますが、審査の過程では証明書の申請者が本当に存在する組織なのか?といった調査が行われています。 申請者が企業の場合は「東京商工リサーチ」といった信用調査会社のデータが参照されたりもします。 なお、SSL通信により通信内容の秘匿性が確保されるのは、あくまでも閲覧者側のWebブラウザソフトとWebサーバーの間の通信経路のみであることにご注意ください。 世間一般には「SSLだからサーバーは安全」という誤った理解がまかり通っていたりするのですが、サーバー自体のセキュリティー防御態勢とWeb通信経路の暗号化とは別の問題です。 あまり関係性はありません。

SSLの種類

WebサイトのSSL化にはSSL証明書の取得が必要であり、これをWebサーバーにインストールする必要があるのですが、このSSL証明にはランクがあり、大きく3つに分ける事ができます。 なおこのランクの違いとは先程ご説明したWebサイト運営主体の実在証明に係る認証レベルの違いであり、暗号の強度とは関係ありません。 (実は暗号のアルゴリズムや強度についても多くの方式があるのですがここでは取り上げません) EV extended validation の略で、Webサイト運営主体について審査が厳格に行われた上で発行される証明書です。 この証明書が適用されたWebサイトを見分けるのは簡単で、ブラウザのURLが表示される所に緑色で社名が表示されたりする仕組みになっています。 金融機関をはじめとした高い信用性が求められるWebサイトを中心に採用が進んでいます。 審査が厳格な分、コストもそれなりにかかります。 現在の相場は日本円で年間十数万円~といったところです。 OV organization validation の略で、一番古くからあるタイプの証明書です。 申請・取得にあたっては実印の押印や印鑑証明書などといった書類が必要です。 EVと違いブラウザの目立つところに緑色の表示が現れたりはしませんが、ブラウザの機能でSSL証明書の詳細を見ると社名がしっかり記載されています。 年間のコストは数万円~です。 DV domain validation の略で、Webサイトで使用しているドメインを管理できる立場の人間であれば申請・取得が可能な証明書です。 したがってこのランクの証明書には実在証明の機能がありません。 通信の暗号化のみが提供される証明書です。 個人情報を含むちょっとした問い合わせフォームがある程度で、金銭の授受が発生するようなやりとりは一切なく、わざわざそのサイトのニセモノをつくって得られるようなメリットは何も考えられないようなケースで用いられる証明書です。 安価なものですと年間数千円~で運用が可能です。 このDVについては、カリフォルニア州にあるISRG(Internet Security Research Group)という非利益団体が運営するLet's Encryptというサービスが、無償で使用できる証明書の発行を2016年より行っています。 無償の証明書を使用する事の是非は判断が分かれるところですが、このLet's Encryptの登場によりWebサイトSSL化の敷居は一気に下がりました。 ところで、ドメイン管理者なら取得が可能という事は、本物とよく似たドメインを取得してDVのSSL証明書を適用し、本物の鍵マークが付いたフィッシングサイトを作る事も可能ということです。 そして実際にそのような犯罪行為が多発したこともあって、最初にご紹介したEVという最上位ランクが後から創設されて加わったという歴史的な経緯があります。 以上SSL証明書についておおまかにご説明しましたが、実際には同じOVでもさまざまなタイプが存在していて必要な費用もそれぞれ異なります。 取得手続きを代行業者に任せる場合はどのような種類の証明書をどのような手続きにより取得するのか、しっかりコミュニケーションをとることが必要です。 Vol.3へ
【緊急】あなたの診療所のWEBサイトが『危ないサイト』になる Vol.1
【緊急】あなたの診療所のWEBサイトが『危ないサイト』になる Vol.3