【特集】SSLでセキュアなECサイト構築
〜ECサイト構築に必要なSSL、その仕組みと構築手順を詳細解説〜

田中直人
ネットマークス
2001/2/17


Part.2 SSLサーバ導入の準備

 ここでは、SSLサーバを導入するために、あらかじめ知っておく必要がある、考慮すべき事項について説明する。

(1) 鍵の長さと安全性

 鍵長を説明する前に、暗号化の手法について簡単に説明する必要がある。

 暗号化とは、平文(暗号化されていない、通常の文章のこと)を何らかの方法にて、その内容が判明しないように変換することである。暗号化を行うためには、暗号化アルゴリズムと暗号化鍵を決定する必要がある。

 一般に暗号化の強度は、暗号化アルゴリズムと鍵の長さ(単位:bit)で決定される。同一アルゴリズムの場合には、鍵の長さが長い方が暗号の強度が強くなる。

 一般的に暗号強度が強い方が安全といえるが、WebサーバとWebブラウザ側で同じ暗号化アルゴリズム、鍵の長さに対応している必要があるため、これらを考慮して暗号化方式、鍵の長さを決める必要がある。

(2) ソフトウェア、ハードウェアの選定

 次に、SSLを使用するためのWebサーバソフトウェア/ハードウェアを選択する必要がある。Webサーバソフトウェアによっては、SSLを使用できなかったり、使用できる場合にも希望する暗号化アルゴリズムや、鍵の長さに対応していない可能性があるため、確認する必要がある。

 また、対応するWebブラウザのソフトウェア名、そのバージョンを確認することも重要である。

 さらにSSLを使用するサーバは、通信の暗号化、ダイジェストの計算などにより多大な処理能力を要求されるため、一般的に通常のWebサーバ以上の能力が要求される。このため、サーバの能力は十分に高いものを準備する必要がある。また、SSLによる処理をサーバと別に実行することによりサーバの負荷を軽減するハードウェアなども存在する。

(3) 電子証明書

 単に暗号化通信だけを行う場合には、独自のCA局(電子証明書の発行などを行う組織)を構築して、そこで電子証明書を発行すればよい。特別なソフトウェアを使用しない場合には、安価に証明書を作成することも可能である。

 しかし、前章で解説したなりすまし防止のためには、第三者の認証機関の署名が行われた電子証明書が必要である。署名とは、電子証明書が、発行した認証機関が認可したものであることを保証するものであり、各認証機関固有のものである。

 一般的な認証機関はあらかじめWebブラウザに登録されており、受け取った証明書は自動的にこれらの署名が記録されているかどうかを確認される。正式な認証機関以外の証明書は、その旨が表示されるようになっているため、Webブラウザを使用する利用者はその証明書つまりその証明書を使用するサーバが第三者により保証されたものかどうかを確認することができる。

画面1 Webブラウザに標準で登録されている証明書の一覧(画面はIEのもの)。登録された以外の証明書が提示されたときに、警告メッセージを表示することで安全性を高めることができる(画面をクリックすると拡大表示します

 各認証機関は、企業への電子証明書発行時には登記簿謄本や印鑑証明書などの提出が必要としており、電子証明書の署名には厳重なチェックが実施されている。これらの手続きに関する費用については機関により異なるが、1年間で約10万円程度が一般的である。

 ECサイトのなりすまし防止対策を実施する場合には、これらの第三者認証機関を選択して、電子証明書の署名を依頼する必要がある。ただし、電子証明書が使用できるサーバなどに制限が存在する場合がある、選択したWebサーバに対応した電子証明書が発行できることを確認する必要がある。

(4) コンテンツ、そのほかの修正

 コンテンツの作成方法にもよるが、一般的にSSLサーバを構築しただけでは、Webアクセスが暗号化されないことが多い。SSLの恩恵にあずかるためには、コンテンツ(特にそのハイパーリンク)にも修正を施す必要がある。

 通常のhttpプロトコルによる通信の場合、URL先頭は「http://」から始まるが、SSLによる通信では、一般的に「https://」という記述が必要となる。この場合、通信はhttpプロトコルで一般的に使用されるポート80番のTCP通信ではなく、ポート443番が使用されている。暗号化を実施したいコンテンツについては、これらをふまえてコンテンツの修正を実施する必要がある。

画面2 SSLを使用したWebサーバへのアクセスでは、「https://」の記述が使用される(画面をクリックすると拡大表示します

 また、WebサーバをFirewallなどで保護している場合には、httpsによる通信を許可するための設定変更が必要となる。


「SSLサーバのセットアップ」 へ


Index
【特集】 SSLでセキュアなECサイト構築
  Part.1 なぜSSLが必要か?
ECサイトにひそむリスク
SSLを使用したリスクの回避
Part.2 SSLサーバ導入の準備
カギの長さと安全性
ソフトウェア/ハードウェアの選定
電子証明書
コンテンツ、そのほかの修正
  Part.3 SSLサーバのセットアップと運用
Webサーバ環境の用意
環境構築の手順
電子証明書の作成
Apacheの設定
Apacheの起動とWebブラウザによる動作確認
実際の運用における注意点
 


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間