2015.01.26
超簡単図解!SSLとは?その必要性とは?
あなたのWebサイトはお客様の大切な個人情報を守ることが出来ていますか?現代ではインターネットの普及に伴って個人情報の電子データ化が進み、個人情報保護に対するずさんな対策が原因で情報漏洩することが増えてきています。そしてたった一度でも情報漏洩は許されることではなく、大切なお客様に迷惑を掛けるだけでなく企業にも大きな損失を与えます。
それを防ぐにはどうすれば良いのでしょうか?それは”WebサイトにSSLを導入してセキュリティ対策を施す”ことです。SSLを導入することで個人情報の漏洩を防ぎ、また企業の信頼度を向上させることができます。円滑に正しくビジネスを行う上でもSSLの導入は必須といえます。
しかし「SSLは導入したいけどお金掛かるでしょ?」「自分のサイトは小規模だからSSLなんて導入しなくても大丈夫」「そもそもSSLって何?」など様々な意見があると思います。そこで今回は、Webに関わる全ての人に知ってほしい”SSLの基本とその必要性”をご紹介します!SSLの導入がいかに大切かお分かり頂けると思います!
そもそもなぜ情報は流出してしまうのか?
SSLの機能や仕組みを知っていただく前に、そもそもなぜ個人情報漏洩などの問題が起きてしまうのでしょうか?その原因は主に以下です。
- ノートPCやUSBなどの紛失/盗難
- コンピューターウィルスの感染
- 関係者による誤操作や意図的な流出
- 不正アクセスによる攻撃
いかがですか?原因の多くが”内部管理の甘さ”に起因しているのです。ノートPCやUSBは管理方法を徹底し、コンピューターウィルスにはウィルス対策ソフトを活用し、関係者による誤操作や意図的な流出には徹底したコンプライアンスを設定することです。
では不正アクセスにはどう対策すれば良いのでしょうか?そうです、SSLを導入するのです。
不正アクセスとは?
さて、そもそも不正アクセスとは何のことでしょうか?例として”お客様(Aさん)がネットショッピングをする”とします。Aさんが「この商品を購入したいから購入フォームに情報を入力しよう!」と名前や住所、クレジットカードに関する情報を入力します。
入力を終えたAさんは”送信ボタン”をクリックすると、その情報はサーバーへ送信され購入手続きを完了します。
しかし、その送信された情報はSSLを導入していない場合平文(ひらぶん)、つまり暗号化されていな状態で送信されます。平文で送信された情報は実はいとも簡単に第三者に読み取られてしまうのです。これが”情報漏洩”です。
情報漏洩から考えられる主なリスクは以下です。1つずつ詳しく見て行きましょう。
- 盗聴
- なりすまし
- 改ざん
盗聴
盗聴とは、送受信されたデータを悪意を持った第三者が盗み見ることです。例でいうと第三者は「名前はAさんと言い、~に住んでいるんだな。クレジットカード会社は~で…」など多くの情報(しかも膨大な被害を受ける可能性のある情報)を知ることが出来ます。
すると不正に現金が引き出されたり、お客様に身に覚えのない請求が来たり…。さらには悪徳業者に個人情報が売られ、多くの押し売りの被害に会うことも。せっかく自分の商品やサービスを気に入ってくれたお客様に対して、想像も出来ないほど大きな被害をもたらすことになります。
なりすまし
なりすましとは、他の人のIDやパスワードを悪用してその人のふりをすることです。例でいうと第三者は「Aさんの名前や住所を使って会員登録し、Aさんの知人の個人情報まで引き出そう」などその人しか知り得ない情報を使って悪用します。
個人/企業に関係なくなりすまし被害にあった人は、周りからの信頼を失ってしまい損害賠償問題に広がることもあります。なりすましによって、お客様は被害者なのに、加害者にしてしまうこともあるのです。
改ざん
改ざんとは、送受信されたデータを悪意を持った第三者が改ざんしてしまうことです。例でいうと第三者は「名前はAさんじゃなくてBさんと登録しよう。住所は~だが~に変更して…」などその人の情報を書き換えてしまいます。
またWebサイト自体を改ざんさせられることもあり、ページの画像や文字を変更/削除されたり、ウィルスを仕掛けることによってお客様に感染させることも珍しくありません。あなたは被害者のはずなのに、加害者になってしまうのです。
お客様と自分のためにSSLを導入しよう
不正アクセスによる多くのリスクをお分かりいただけたと思います。「自分のサイトは小規模だからSSLなんて導入しなくても大丈夫」という方、正直お気持ちはよく分かります。しかし警視庁の広報資料によると平成25年の不正アクセスの認知件数は”2,951件”です。しかもこれが増加傾向にあり、決して遠い話ではないことをご理解頂ければと思います。
先にも書きましたが、個人情報の漏洩をしてしまった場合、大切なお客様に迷惑を掛けるだけでなく企業にも大きな損失を与えます。集団賠償請求による金額的な損失だけでなく、信頼度減少にも繋がります。あなたがご存知の有名企業も、信頼度減少による損失は計り知れません。
そんなことに怯えるくらいなら、月に数万円のSSLを導入しセキュリティ対策の向上を施したほうが賢明です。大きな被害・損失を未然に防ぎ、SSLサーバー証明書を取得することによって企業の信頼度向上にも貢献します。
SSLを導入することで、お客様とサーバーが送受信するデータを暗号化するため、第三者から読み取ることは出来ません。盗聴/なりすまし/改ざんなどの大きなリスクに備えることができます。
まとめ
いかがでしたか?個人情報の漏洩は、大切なお客様に迷惑を掛けるだけでなく企業にも大きな損失を与えます。そして不正アクセスは自分には関係のない遠い話ではなく、このページを見ているあなたにとても近い話なのです。
本来ビジネスゴールを達成するために制作されるWebサイトが、あなたのビジネスを潰してしまっては何の意味もありません。当たり前のことかもしれませんが、もう一度セキュリティについて見直してみましょう。
近々”SSLの設置方法と共有SSLと独自SSLの違い”について詳しく記事を書きたいと思います!