Webセキュリティ対策の定番ともいえる「SSL/TLS暗号化」だが、その適切な設定方法を理解している人は意外と少ない。IPAとCRYPTRECが共同制作したガイドラインを基に、基礎から再確認しよう。
Webサイトのユーザーをサイバー攻撃から保護するための施策として、標準的に利用されている技術が「SSL/TLS暗号化」である。SSL/TLS暗号化技術を用いると、通信経路上の「盗聴」、Webサイトの「なりすまし」という2つの問題に対処できる。ユーザーのログインが必要となるWebサービスをはじめ、既に多くのWebサイトで導入されている手法の1つだ。最近では、Webサイトのトップページ以下、全てのWebページの通信を暗号化する「常時SSL化」を採用する動きもある。
定番ともいえるWebサイトのセキュリティ対策であるSSL/TLS暗号化。しかしながら、実は世界中のWebトラフィックのうち、SSL/TLSで暗号化されているものは、たった数%程度だといわれる。要因の1つとして考えられるのが、SSL/TLS暗号化の導入や設定の煩雑さだ。実は、SSL/TLS暗号化を導入しているにもかかわらず、設定を最適化していないために、安全性が低下しているWebサイトも多数存在するという。せっかくのセキュリティ投資を無駄にしてしまっているのだ。
SSL/TLS暗号化の導入や運用の際に、適切な設定を施すためにはどうすべきか。参考になるのは、情報処理推進機構(IPA)が政府の暗号技術評価プロジェクト「CRYPTREC」と共同で制作・発行した「SSL/TLS暗号設定ガイドライン」である。CRYPTREC暗号技術活用委員会の運用ガイドワーキンググループの委員を務め、ガイドラインの著者の一人でもあるシマンテック プロダクトマネジメント部 マネージャーの阿部 貴氏の話を基に、SSL/TLS暗号化の基礎を振り返りつつ、適切な設定を学んでいこう。
提供:合同会社シマンテック・ウェブサイトセキュリティ
アイティメディア営業企画/制作:TechTargetジャパン編集部
ITmediaはアイティメディア株式会社の登録商標です。
