サイト構築＆運用 5-04
Webサイトの制作と運営に関わるセキュリティ（前編）

Webサイトの制作・運営にあたってはセキュリティを十分に考慮することが必須だ。Webサイトの脆弱性とユーザーとのコミュニケーション上のリスクの認識と予防・対策を意識して取り組みたい。

制作・文／江口崇（CEO, Dekilog）

Webサイトのセキュリティを強化する通信の暗号化SSL

Webサイトを閲覧するとき、通常HTTPというプロトコル（通信の取り決め）で通信が行われる。しかしHTTPでは、情報のやり取りは第三者にも簡単に見られてしまうという問題がある。そのため、大切な情報を安全にやり取りするためにはHTTPS接続の使用が推奨される。

HTTPS接続では、第三者に盗み見されては困る情報、たとえばクレジットカード番号や個人情報、ログイン時のパスワードなどを暗号化してやり取りすることができる。このようなHTTPS接続での通信を実現しているのがSSL（セキュア・ソケット・レイヤー）という仕組みだ。まず、このSSLについて理解しておこう。

サイト運営者を「認証する」という役割を担うSSL

通信経路の暗号化に加え、SSLのもう一つの役割として、Webサイトやサービスの運営者の認証ができるという点がある。サーバー側でなく、クライアント側を認証する方法もあるが、ここでは一般的に使われている「サーバー認証」をとりあげる。

これを実現するために、Webサーバーに「SSLサーバー証明書」をインストールする。SSLサーバー証明書は、第三者機関の「認証局（CA）」による認証を経て発行される。

認証の方法には二種類ある。一つは各CAが独自に決めた基準で運営者を審査しているもの。もうひとつは業界団体「CA/Browserフォーラム」で標準化された基準にのっとり、サービス運営者の法的実在性までもカバーした発行要件や担当者の権限の確認など厳格な審査を経た認証。このようなプロセスを経て発行されたSSLサーバー証明書はEV SSLサーバー証明書と呼ばれる【01】。

現在ほとんどのブラウザはEV SSLサーバー証明書に対応している。多くの場合、アドレスバーが緑色に表示されるなどの方法で、ひと目でEV SSLサーバー証明書が使われていることがわかる。また、通常のSSLサーバー証明書を用いたサイトでは表示されない運営企業の所在地などの情報も簡単に確認することができる【02】。

社内のみで利用するサイトなどでは通常のSSLサーバー証明書で通信の暗号化ができれば十分だが、一般ユーザーを対象にするサイトではEV SSLサーバー証明書を利用することが望ましい。Webサービスで決済に関する情報や個人情報を扱うのが普通になってきている今、安全に通信を行うことはもちろん、利用者に信頼感を与えることが大切だからだ。

Webサービスで扱われる情報の重要性が高まる中、たとえばGoogleやFacebook、Twitterなどでは、サービス全体にわたってHTTPS通信を行うような設定ができるようになっている。

【01】EV SSLサーバー証明書を使ったWebサイトをブラウザ（Chrome）で見る。
アドレス欄に緑色の鍵アイコンと運営会社名が表示される。そこをクリックするとEV証明書が利用されていることや暗号の方式など詳細な情報が表示される。

【02】通常のSSLサーバー証明書と遅い、EV SSLサーバー証明書を使ったWebサイトではサイト運営企業の所在地などの詳細情報を確認することができる。図はChromeの表示。

WebサイトでSSLを使うためのプロセス

SSLサーバー証明書の発行を申請

SSLを利用するためには、まずWebサーバーに必要なソフトウェアを導入する。それから認証局にSSLサーバー証明書を発行してもらい、さらにそれをWebサーバーにインストールするという手順が必要だ。

たとえば、最も利用されているWebサーバーApacheの場合、OpenSSLと呼ばれるSSL暗号化のソフトウェアをインストールする。そしてこのWebサーバー上でCSR と呼ばれるデータを作成する。CSRとは証明書の署名リクエストのことで、これを認証局に提出してSSLサーバー証明書の発行を申請する。

申請者の審査

CSRを受け取った認証局は、受け取ったCSRに署名をし、SSLサーバー証明書を作成する。同時に、担当者の在籍照会などでサービス運営者の実在性を確認する。この場合、申請者は権限のある部長職以上に限られるなど、信頼性を高めるための審査の条件が厳しくなっている。

SSLサーバー証明書の発行

上記の審査が終わったあと、認証局はSSLサーバー証明書を発行する。これをWebサーバーにインストールすれば、そのサーバーでのSSL通信が可能になる。

通常SSLサーバー証明書には1年から5年程度の有効期間が決められており、これが切れる前に更新する必要がある。その際は、申請時と同じプロセスを取ることになる【03】。

【03】Webサーバーに固有のCSRと呼ばれるファイルを生成、認証局はこれを元にSSLサーバー証明書を生成する。この証明書を発行するには、サイト運営者を一定の基準に従って審査する。これによりSSLサーバー証明書の信頼性を向上せさせている。

Webサービスのセキュリティ上のリスク

いまやソーシャルメディアやECサイトをはじめとするWebサービスは、生活に欠かせないインフラとなっている。Webサービスの制作や運用に携わるプロとして、どのようなリスクがあって、どのように対処することができるのかを知っておきたい【04】。

Webサービスのセキュリティ上のリスクとして、まず、情報の漏洩が挙げられる。これは、個人情報などが出てはいけないところに漏れてしまうことだ。それから、ECサイトなどお金を扱うサービスで、ユーザーや運営者に金銭的な損害をもたらすもの。また、サーバーが攻撃されてサービス提供ができなくなったり、ユーザー体験が著しく低下したりするというリスクもある。

ソーシャルメディアでは、製品やサービス、運営者の言動などに対する批判や非難が殺到すること、いわゆる「炎上」リスクとして認識しておきたい。

【04】Webサイトのリスクの種類。

（後編に続く）

[目次に戻る]

【本記事について】
2012年1月28日発売のweb creators特別号「Webサイト制作最新トレンドの傾向と対策」から、毎週記事をピックアップしてご紹介! HTML5・CSS3によるコーディングから、次々と生まれてくる新しいソーシャルサービス、Webアプリケーション、スマートフォンやタブレット端末への対応など、いまWeb制作で話題になっているトピックを網羅した内容になっています。

※本記事はweb creators特別号『Webサイト制作最新トレンドの傾向と対策』からの転載です。この記事は誌面でも読むことができます。