Webを安全にするというSSLの中身を見せて：セキュリティプロトコルマスター（1）（2/3 ページ）

Webを安全に使う

Webの危険性ってなんですか？

　「インターネットする」という言葉がありますが、これは「WebブラウザでWebページを閲覧する」という意味で使うことが多いようです。確かにいわれてみると、ネットショッピング、ネットバンキング、ネット予約など、注目されているサービスの大部分がWebページにアクセスして手続きを進めます。そのくらいWebページのアクセスはインターネットで大きな位置を占めているということでしょう。

　これらのWebページのアクセスは普通インターネットを通じて行います。だからといって、クレジットカード番号の盗聴、振込金額の改ざん、なりすましサイトでのフィッシング詐欺などが起きては使い物になりません。ですので「盗聴」「改ざん」「なりすまし」が起こらないような仕掛けが必要です。

　この連載の第1回目は、このようにインターネットを代表するアプリケーションであるWebを安全に使うための技術を取り上げましょう。

Webを安全に利用する技術は？

　Webを安全に使えるよう現在幅広く使われているのがSSL（Secure Sockets Layer）という仕組みです。SSLを使うと「盗聴」「改ざん」「なりすまし」を防ぐことができます。いまネットショッピング、ネットバンキング、ネット予約などが普通に使えるのは、このSSLのおかげといっても過言ではないでしょう。

　SSLを使って安全に通信できるWebページは、そのURLがhttps://で始まっています。これらのページにアクセスして、安全に通信できる状態になると、ブラウザのステータスバーに表1のようなマークが現れます。

IEの場合

Netscapeの場合

表1 安全なページアクセス時にブラウザ下端へ表示するアイコン

　なおSSLとほぼ同じ仕組みでTLS（Transport Layer Security）と呼ばれているものもあります。厳密にいえば別のものですが、ここでのお話の範囲では同じものと考えていただいて構いません。

SSLってTCP/IPの一部ですか？

　いいえ、違います。SSLの仕組みは、本来、Webブラウザの機能とTCP/IPの間に入り込むような場所にあります（図3）。ただ実際には、SSLはブラウザ機能の一部として提供されている（図中青の点線部分）ことから、普通はブラウザ機能の一部のように見えます。

図3 SSLがある場所と全体の通信との関係

　このような場所にあるため、SSLを使って安全に通信するか、使わずに通信するかは、Webブラウザが自由に使い分けることができます。SSLを使えば、安全に通信するための工夫をしたデータがTCP/IPに引き渡され、それがネットワークに流れてゆきます。

安全に通信するための具体的な工夫とは？

　SSLでは「盗聴」を防ぐためにデータを「暗号化」して送ります。暗号化してから送れば、たとえ誰かが盗聴したとしても、元のデータに戻すことができません。元のデータに戻せなければ、盗聴されていないのと同じです。これはなんとなくイメージが湧くと思います。

　「改ざん」を防ぐためには「ダイジェスト関数」という仕組みを使っています。これはちょっと分かりにくいかもしれません。詳しくはまた別のタイミングで取り上げますが、簡単にいえば「内容を1文字でも書き換えると結果が違ってくる関数」です。これを使って、内容が書き換えられていないことを確認します。

　また「なりすまし」を防ぐためには、「デジタル証明書」に含まれている情報を使って相手を確認します。これもちょっとピンと来ないかもしれません。やはり別のタイミングで取り上げますが、一言でいえば「大御所のお墨付き」です。お墨付きのサーバなら安心、というわけです。

SSLはWebだけで使うのですか？

　いいえ。SSLは安全な通信をするための仕組みとして、Web以外のアプリケーションでも使われています。例えばメールの送信や読み出しに使うsmtpsやpop3sなどがSSLを使っています。これらについては、この連載の中であらためて取り上げます。