【特集】SSLでセキュアなECサイト構築
〜ECサイト構築に必要なSSL、その仕組みと構築手順を詳細解説〜
田中直人
ネットマークス
2001/2/17
Part.2 SSLサーバ導入の準備 |
ここでは、SSLサーバを導入するために、あらかじめ知っておく必要がある、考慮すべき事項について説明する。
(1) 鍵の長さと安全性
鍵長を説明する前に、暗号化の手法について簡単に説明する必要がある。
暗号化とは、平文(暗号化されていない、通常の文章のこと)を何らかの方法にて、その内容が判明しないように変換することである。暗号化を行うためには、暗号化アルゴリズムと暗号化鍵を決定する必要がある。
一般に暗号化の強度は、暗号化アルゴリズムと鍵の長さ(単位:bit)で決定される。同一アルゴリズムの場合には、鍵の長さが長い方が暗号の強度が強くなる。
一般的に暗号強度が強い方が安全といえるが、WebサーバとWebブラウザ側で同じ暗号化アルゴリズム、鍵の長さに対応している必要があるため、これらを考慮して暗号化方式、鍵の長さを決める必要がある。
(2) ソフトウェア、ハードウェアの選定
次に、SSLを使用するためのWebサーバソフトウェア/ハードウェアを選択する必要がある。Webサーバソフトウェアによっては、SSLを使用できなかったり、使用できる場合にも希望する暗号化アルゴリズムや、鍵の長さに対応していない可能性があるため、確認する必要がある。
また、対応するWebブラウザのソフトウェア名、そのバージョンを確認することも重要である。
さらにSSLを使用するサーバは、通信の暗号化、ダイジェストの計算などにより多大な処理能力を要求されるため、一般的に通常のWebサーバ以上の能力が要求される。このため、サーバの能力は十分に高いものを準備する必要がある。また、SSLによる処理をサーバと別に実行することによりサーバの負荷を軽減するハードウェアなども存在する。
(3) 電子証明書
単に暗号化通信だけを行う場合には、独自のCA局(電子証明書の発行などを行う組織)を構築して、そこで電子証明書を発行すればよい。特別なソフトウェアを使用しない場合には、安価に証明書を作成することも可能である。
しかし、前章で解説したなりすまし防止のためには、第三者の認証機関の署名が行われた電子証明書が必要である。署名とは、電子証明書が、発行した認証機関が認可したものであることを保証するものであり、各認証機関固有のものである。
一般的な認証機関はあらかじめWebブラウザに登録されており、受け取った証明書は自動的にこれらの署名が記録されているかどうかを確認される。正式な認証機関以外の証明書は、その旨が表示されるようになっているため、Webブラウザを使用する利用者はその証明書つまりその証明書を使用するサーバが第三者により保証されたものかどうかを確認することができる。
画面1 Webブラウザに標準で登録されている証明書の一覧(画面はIEのもの)。登録された以外の証明書が提示されたときに、警告メッセージを表示することで安全性を高めることができる(画面をクリックすると拡大表示します) |
各認証機関は、企業への電子証明書発行時には登記簿謄本や印鑑証明書などの提出が必要としており、電子証明書の署名には厳重なチェックが実施されている。これらの手続きに関する費用については機関により異なるが、1年間で約10万円程度が一般的である。
ECサイトのなりすまし防止対策を実施する場合には、これらの第三者認証機関を選択して、電子証明書の署名を依頼する必要がある。ただし、電子証明書が使用できるサーバなどに制限が存在する場合がある、選択したWebサーバに対応した電子証明書が発行できることを確認する必要がある。
(4) コンテンツ、そのほかの修正
コンテンツの作成方法にもよるが、一般的にSSLサーバを構築しただけでは、Webアクセスが暗号化されないことが多い。SSLの恩恵にあずかるためには、コンテンツ(特にそのハイパーリンク)にも修正を施す必要がある。
通常のhttpプロトコルによる通信の場合、URL先頭は「http://」から始まるが、SSLによる通信では、一般的に「https://」という記述が必要となる。この場合、通信はhttpプロトコルで一般的に使用されるポート80番のTCP通信ではなく、ポート443番が使用されている。暗号化を実施したいコンテンツについては、これらをふまえてコンテンツの修正を実施する必要がある。
画面2 SSLを使用したWebサーバへのアクセスでは、「https://」の記述が使用される(画面をクリックすると拡大表示します) |
また、WebサーバをFirewallなどで保護している場合には、httpsによる通信を許可するための設定変更が必要となる。
「SSLサーバのセットアップ」 へ |
Index | |
【特集】 SSLでセキュアなECサイト構築 | |
Part.1 なぜSSLが必要か? ECサイトにひそむリスク SSLを使用したリスクの回避 |
|
Part.2 SSLサーバ導入の準備 カギの長さと安全性 ソフトウェア/ハードウェアの選定 電子証明書 コンテンツ、そのほかの修正 |
|
Part.3 SSLサーバのセットアップと運用 Webサーバ環境の用意 環境構築の手順 電子証明書の作成 Apacheの設定 Apacheの起動とWebブラウザによる動作確認 実際の運用における注意点 |
|
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|