今日は、Webコンサルタント.jpの紀井でございます。

先日、ある案件で現場の仕事をサポートした時に暗号化について触れる機会がありましたので、思い出したかのようにここに綴りたいと思います。

ECサイトや、予約システムなどを運用しているサイトを利用している時に、アドレスが「https?」となっている事に気がついたことはあるでしょうか
その場合は、SSL通信をしていますよって事になります。
SSL通信とは、Secure Sockets Layerの略称で、暗号化通信の事を指します。

暗号化していない通信情報は、盗聴される危険にさらされています。
Webサイト上に公開している情報は、そもそも公開している情報ですので、暗号化する必要はありませんが（なので、http?となっています）、ECサイトのように個人情報である名前とメールアドレスだけでなく、クレジットカード番号やパスワードなど漏洩すると笑えない状態になります。
第三者の「盗聴」と言う部分では、あってはいけませんが、例えば、Webサイトのデータを格納しているサーバーの管理者なら、見ようと思えばアクセス履歴はもちろん確認できます。
つまり、悪意をもってクレジットカード情報を探そうと思えば、探せるわけです。
そこで出てくるのが暗号化通信。
暗号化すると、送信データ上は脈絡のない文字列の組み合わせになって伝送される事になります。
これなら、サーバーの管理者でも、読解できません。

ただし、気をつけるべき点が2つ有ります。

• 利用者視点：　暗号化を認証している機関
• 提供側視点：　暗号化の有効範囲

利用者視点として、もちろん暗号化してもらう事で安心できるわけですが、いったい誰が認証しているのでしょうか？
VeriSignやGlobalSignはかなり有名だと思います。
こういう認証局が発行している証明書があれば、問題ないのですが、時折よくわからない認証局があります。
Web上で検索するといくつかヒットするのですが、俗称：なんちゃってSSL　というのがあります。
暗号化の技術は、何も有名な認証局だけのものではありません。
サーバーの知識がある人であれば、暗号化が可能です。
つまり、誰でも認証局になれるわけです。
利用者視点で考えるとかなり怖い状況なのは何となく感じ取ってもらえるでしょう。
※弊社が運営管理している歯科タウンはVeriSignで、公式サイトやWebコンサルタント.jpはGlobalSign

さて、次に提供側視点での落とし穴を記載したいと思います。
暗号化通信は、Webサイトのデータがあるサーバーを中心に暗号化がされているわけです。

こんな感じになっているのですが、Webサイト利用時には、暗号化されているのですが
メールサーバとサイト管理者PC間が無防備になっています。
「https～」で保障される暗号化の守備範囲も制限があります。

解決策も用意されていて、メールサーバーとサイト管理者PC間をPOP over SSLを用いれば、暗号化されます。
もしくは、メール本文に個人情報を載せず、Webサイトがあるサーバーに情報を格納しておき、暗号化通信をしつつ情報確認をしにいくなどできます。
法的に暗号化を義務化する事はないかも知れませんが、情報漏洩のリスクは計り知れません。

お客様の情報を守るのもサイト管理者の務めです。
気になるお客様は、ぜひ当社へご相談くださいませ。

では、本日はこの辺で