連載
» 2005年11月01日 00時00分 公開

セキュリティプロトコルマスター(1):Webを安全にするというSSLの中身を見せて (2/3)

[福永勇二,インタラクティブリサーチ]

Webを安全に使う

Webの危険性ってなんですか?

目次

はじめに

ネットワークにはどんな危険がある?

1 どんな危険性があるの

2 盗聴ってなに

3 改ざんってなに

4 なりすましってなに

5 コンピュータ同士の通信ではどうなる

Webを安全に使う

6 Webの危険性ってなに

7 Webを安全に利用する技術は

8 SSLってTCP/IPの一部ですか

9 安全に通信するための具体的な工夫とは

10 SSLはWebだけで使うのか

SSLの仕組み

11 SSLの中身はどんな仕組みなのか?

12 どんな順序で動くのか?

13 もっと詳しく知りたい

14 SSLで通信しているデータを見せて


 「インターネットする」という言葉がありますが、これは「WebブラウザでWebページを閲覧する」という意味で使うことが多いようです。確かにいわれてみると、ネットショッピング、ネットバンキング、ネット予約など、注目されているサービスの大部分がWebページにアクセスして手続きを進めます。そのくらいWebページのアクセスはインターネットで大きな位置を占めているということでしょう。

 これらのWebページのアクセスは普通インターネットを通じて行います。だからといって、クレジットカード番号の盗聴、振込金額の改ざん、なりすましサイトでのフィッシング詐欺などが起きては使い物になりません。ですので「盗聴」「改ざん」「なりすまし」が起こらないような仕掛けが必要です。

 この連載の第1回目は、このようにインターネットを代表するアプリケーションであるWebを安全に使うための技術を取り上げましょう。

Webを安全に利用する技術は?

 Webを安全に使えるよう現在幅広く使われているのがSSL(Secure Sockets Layer)という仕組みです。SSLを使うと「盗聴」「改ざん」「なりすまし」を防ぐことができます。いまネットショッピング、ネットバンキング、ネット予約などが普通に使えるのは、このSSLのおかげといっても過言ではないでしょう。

 SSLを使って安全に通信できるWebページは、そのURLがhttps://で始まっています。これらのページにアクセスして、安全に通信できる状態になると、ブラウザのステータスバーに表1のようなマークが現れます。

IEの場合

IEの場合


Netscapeの場合

Netscapeの場合

表1 安全なページアクセス時にブラウザ下端へ表示するアイコン

 なおSSLとほぼ同じ仕組みでTLS(Transport Layer Security)と呼ばれているものもあります。厳密にいえば別のものですが、ここでのお話の範囲では同じものと考えていただいて構いません。

SSLってTCP/IPの一部ですか?

 いいえ、違います。SSLの仕組みは、本来、Webブラウザの機能とTCP/IPの間に入り込むような場所にあります(図3)。ただ実際には、SSLはブラウザ機能の一部として提供されている(図中青の点線部分)ことから、普通はブラウザ機能の一部のように見えます。

図3 SSLがある場所と全体の通信との関係 図3 SSLがある場所と全体の通信との関係

 このような場所にあるため、SSLを使って安全に通信するか、使わずに通信するかは、Webブラウザが自由に使い分けることができます。SSLを使えば、安全に通信するための工夫をしたデータがTCP/IPに引き渡され、それがネットワークに流れてゆきます。

安全に通信するための具体的な工夫とは?

 SSLでは「盗聴」を防ぐためにデータを「暗号化」して送ります。暗号化してから送れば、たとえ誰かが盗聴したとしても、元のデータに戻すことができません。元のデータに戻せなければ、盗聴されていないのと同じです。これはなんとなくイメージが湧くと思います。

 「改ざん」を防ぐためには「ダイジェスト関数」という仕組みを使っています。これはちょっと分かりにくいかもしれません。詳しくはまた別のタイミングで取り上げますが、簡単にいえば「内容を1文字でも書き換えると結果が違ってくる関数」です。これを使って、内容が書き換えられていないことを確認します。

 また「なりすまし」を防ぐためには、「デジタル証明書」に含まれている情報を使って相手を確認します。これもちょっとピンと来ないかもしれません。やはり別のタイミングで取り上げますが、一言でいえば「大御所のお墨付き」です。お墨付きのサーバなら安心、というわけです。

SSLはWebだけで使うのですか?

 いいえ。SSLは安全な通信をするための仕組みとして、Web以外のアプリケーションでも使われています。例えばメールの送信や読み出しに使うsmtpsやpop3sなどがSSLを使っています。これらについては、この連載の中であらためて取り上げます。

修正履歴:「またUNIXなどのサーバにログオンするときに使うsshなども、SSLを使って安全な通信をしています」と記しておりましたが、誤りだっため修正しました。

ssh(Secure Shell)の通信は、SSLプロトコルではなく、SSHプロトコルで行います。

(2005/11/1)


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。